iptable redirecionar faixa de ip para ip

jr.jorro
(usa Debian)

Enviado em 17/05/2010 - 21:22h

Pessoal,

Eu tenho um determinado ip_destino 192.168.1.50 gostaria que todos os pacotes da minha rede enviados à a faixa 10.185.*.* fosse para o ip_destino. Como faria isso no iptable ?

Algo como: IPTABLES -t filter -A INPUT -s 10.183.*.* -p tcp -j REDIRECT 192.168.1.5

E tem como fazer esse ip_destino não passar pelo proxy ?
Algo como:

acl teste src 192.168.1.5
http_access teste allow

Vocês podem me ajudar corrigindo ?
Agradeço a ajuda de vocês.

nizael.j
(usa Ubuntu)

Enviado em 17/05/2010 - 21:42h

boa noite,amigo explique melhor o cenario de sua rede, quantos servidores vc tem na rede, o que vc esta tentando redirecionar, que serviço?? ou sou é o trafego mesmo?e que por qual motivo, pq assim fica melhor para min te tentar te ajudar blz aguardo um abraço tenta
aqui ...http://www.vivaolinux.com.br/dica/Redirecionamento-de-portas-usando-iptables
aqui..http://www.vivaolinux.com.br/artigo/Configurando-um-NAT
tem varios assuntos sobre nat aqui ok espero ter ajudado se resovler colocar como resolvido .....abraços

irado
(usa XUbuntu)

Enviado em 17/05/2010 - 21:45h

existem MUITOS artigos, dicas e scripts que tratam de redirecionamento, que é o que vc procura; sugiro ir ali em cima, à direita na faixa verde e colocar "redirecionamento iptables" no box, selecionar "artigos" e clickar em "buscar".

não é justo, tanta gente se esforçou para escrever ótimos artigos e vc vir aqui perguntar isso :\

dica: não é INPUT, é FORWARD ;)

flames > /dev/null

jr.jorro
(usa Debian)

Enviado em 17/05/2010 - 21:49h

nizael. Muito obrigado pela ajuda. O que quero é pegar toda vez alguém da lan acessar ips que começam em 10.185 e redirecionar para o roteador 192.168.1.5.

irado
Você tem razão, aqui tem muito tutorial bom, mas é que estou começando agora com iptables/squid e ainda não me situei nas regras. Mesmo lendo, ainda é difícil.

nizael.j
(usa Ubuntu)

Enviado em 17/05/2010 - 21:57h

amigo ainda nao entendi.. direto rs.. te fala vc tem quantos servidores?? tem so um servidor com duas placas de rede e vc tem em uma das placas ligada a internet e outra a rede local certo?? e nessa rede local vc tem duas faixas de ips certo??? me explique ..posta seu script squid iptables para min ver como você esta usando .. se for so redirecionar, como nao pe pra maquina local vc nao pode usar imput vc tem que usar forward e PREROUTING pa nao e na maquina local e sim destino , esperimeta o um dos links que te passei que ate agora pelo que eu entendi resolve seu problema blz falow um braço

jr.jorro
(usa Debian)

Enviado em 17/05/2010 - 22:08h

Olá Nizael,

É assim: Tenho uma lan com algumas máquinas que precisam acessar vários sites. Esses sites tem a mesma faixa ip, tipo:

site 1: 10.184.50.20
site 2: 10.184.50.25
... + 20 sites

a gente tem um roteador (ponto a ponto) que faz a gente acessr o site dentro da rede do cliente...

Então, toda vez que um usuário acessar esses sites, o iptable direcione para o roteador ponto a ponto que tá com o ip 192.168.1.5 na nossa rede.

Infelizmente tou sem os scripts aqui.
Já li os tutoriais, mais ainda não consegui montar a regra.

eduardo
(usa Linux Mint)

Enviado em 18/05/2010 - 07:59h

Você pode utilizar assim:


iptables -t nat -A PREROUTING -d 10.183.0.0/16 -p tcp -j REDIRECT --to 192.168.1.5

Como você disse "todos os pacotes da minha rede enviados à a faixa 10.185.*.* fosse para o ip_destino" o 10.183 deve ser "-d".

Sobre não passar pelo proxy, antes da regra de proxy transparente você adiciona:
iptables -t nat -A PREROUTING -d 192.168.1.5 -p tcp -j ACCEPT

irado
(usa XUbuntu)

Enviado em 18/05/2010 - 08:45h

isso me está parecendo mesmo é um conjunto de vpns, configuração estrela, ou então VLans.

Ôwn jr, defina melhor isso aí. Se é VPN, O QUE é que vc está usando? Se são VPNs temos que tratar de rotas e NÃO com iptables/squid. Se forem VLans temos que tratar TAMBÉM com roteadores Cisco e seus "trunks" e TAMBÉM não é com iptables.

mano.. não é melhor vc primeiro SABER o que vc tem na mão e DEPOIS perguntar as coisas direito?

fui.

flames > /dev/null

jr.jorro
(usa Debian)

Enviado em 18/05/2010 - 10:05h

Ok irado.

É o seguinte... aqui na minha rede, o pessoal precisa acessar uns sites de um cliente, para isso, a faixa de 10.183 deve ser direcionada pro MSR 20-11 que eles mandaram pra gente.

Se tiver que usar a rota, como faria essa rota ser adiciona para os ips destino ? No caso, toda vez que acessar a faixa 10.183.*.* ir pra o ip...

irado
(usa XUbuntu)

Enviado em 18/05/2010 - 11:34h

jr.jorro: definitivamente, vc TEM que saber COMO as coisas são aí. Os ip-addr que vc menciona são classe A, e NÃO ROTEAVEIS, ou seja, NENHUM roteador externo (de borda ou internos) vão processar isso, todos os pacotes serão descartados. Leia a rfc-1918, que trata a respeito das "private Internet".

[irado@CentOS:~$]: ./ipcalc --nocolor 10.183.0.0
Address: 10.183.0.0 00001010.10110111.00000000. 00000000
Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000
Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111
=>
Network: 10.183.0.0/24 00001010.10110111.00000000. 00000000
HostMin: 10.183.0.1 00001010.10110111.00000000. 00000001
HostMax: 10.183.0.254 00001010.10110111.00000000. 11111110
Broadcast: 10.183.0.255 00001010.10110111.00000000. 11111111
Hosts/Net: 254 Class A, Private Internet

então, mano, enquanto vc NÃO CONHECER seu ambiente, vc tá na roça. Trate de buscar quem entende as coisas aí, quem montou, COMO as coisas estão..