Redirecionamento de interface

Buckminster
(usa Debian)

Enviado em 15/01/2014 - 10:45h

iptables -t nat -A POSTROUTING -s 10.10.10.X -o eth1 -p tcp -m multiport --dport 80,443 -j SNAT --to ip_da_interface_eth2

O certo é SNAT, errei no digitar.

E sim, o IP da interface deve estar fixo.

A regra é a mesma, mas na regra que eu postei engloba somente as portas que você quer.

A regra está dizendo:
iptables adicione (-A) na chain POSTROUTING da tabela nat uma regra dizendo que os pacotes que tiverem origem (-s, source) no IP 10.10.10.X com destino (-o, output) à eth1 pelo protocolo tcp nas portas 80 e 443 altere o IP de origem (SNAT) para o ip_da_interface_eth2.

Ou seja, todos os pacotes do referido IP 10.10.10.X serão alterados para o IP da placa eth2 e, logicamente sairão pela placa eth2.

E outra coisa:

"Tentei fazendo de várias formas diferentes e não funcionou, sempre sai pela interface eth0. Como sei? Indo em sites que dizem qual é seu IP. Sempre me mostram o IP da interface eth0."

Se nos sites mostra o IP da interface eth0 então tem alguma coisa muito errada na tua rede.
Nos sites deve obrigatoriamente mostrar o IP do modem/roteador conectado na eth0. Assim como uma conexão que saia pelo modem conectado na eth2, no site deve aparece o IP desse modem.
A não ser que de alguma maneira tua placa eth0 esteja conectada diretamente à DSL da tua operadora, o que é muito difícil.

Segue link para o Manuel do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=1

simberg
(usa Debian)

Enviado em 15/01/2014 - 11:15h

Buckminster
(usa Debian)

iptables -t nat -A POSTROUTING -s 10.10.10.X -o eth1 -p tcp -m multiport --dport 80,443 -j SNAT --to ip_da_interface_eth2

O certo é SNAT, errei no digitar.

E sim, o IP da interface deve estar fixo.

A regra é a mesma, mas na regra que eu postei engloba somente as portas que você quer.

A regra está dizendo:
iptables adicione (-A) na chain POSTROUTING da tabela nat uma regra dizendo que os pacotes que tiverem origem (-s, source) no IP 10.10.10.X com destino (-o, output) à eth1 pelo protocolo tcp nas portas 80 e 443 altere o IP de origem (SNAT) para o ip_da_interface_eth2.

Ou seja, todos os pacotes do referido IP 10.10.10.X serão alterados para o IP da placa eth2 e, logicamente sairão pela placa eth2.

E outra coisa:

"Tentei fazendo de várias formas diferentes e não funcionou, sempre sai pela interface eth0. Como sei? Indo em sites que dizem qual é seu IP. Sempre me mostram o IP da interface eth0."

Se nos sites mostra o IP da interface eth0 então tem alguma coisa muito errada na tua rede.
Nos sites deve obrigatoriamente mostrar o IP do modem/roteador conectado na eth0. Assim como uma conexão que saia pelo modem conectado na eth2, no site deve aparece o IP desse modem.
A não ser que de alguma maneira tua placa eth0 esteja conectada diretamente à DSL da tua operadora, o que é muito difícil.

Segue link para o Manuel do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=1
----------------------

Caro Buckminster,

eu tentei da outra forma, imaginei que fosse um erro de digitação. Só coloquei a observação para que outra pessoa incauta usasse a linha e tivesse problemas.

Trabalho com IP´s reais. Só minha rede interna são IP´s administrativos. Não tenho modem conectado na eth2. Não é em todo lugar que se vê isso. Mas, aqui há várias máquinas dessa forma. Talvez por isso eu esteja enfrentando esse problema.

As máquinas administrativas quando saem, passam pelo firewall e saem com o IP da interface eth0.

Quero que uma máquina saia com o ip da interface eth2.

Obrigado pelo link, excelente manual.

Ainda não está funcionando.

Buckminster
(usa Debian)

Enviado em 15/01/2014 - 11:44h

Ok.

Fala uma coisa, a eth0 está conectada onde (qual aparelho)?

A eth2 está conectada onde (qual aparelho)?

simberg
(usa Debian)

Enviado em 15/01/2014 - 16:48h

Ok.

Fala uma coisa, a eth0 está conectada onde (qual aparelho)?

A eth2 está conectada onde (qual aparelho)?
------------

Em um Switch.

Buckminster
(usa Debian)

Enviado em 15/01/2014 - 22:06h

Realmente, agora complicou tudo.

Acredito que você está se confundindo.

Você colocou anteriormente a eth0 como Wan e a eth2 como Wan2, isso significa que por elas entram os links de internet.

"eth0 - Wan
eth1 - Rede LAN (rede 10.10.10.0/24)
eth2 - Wan2"

Mas se as duas placas estão conectadas em um switch, então você não tem link de entrada nem na eth0 e nem na eth2.

Explique melhor isso daí.

Explique como se eu tivesse 6 anos de idade, por exemplo:

A eth0 está conectada num switch.
A eth2 está conectada num switch.
A eth1 está conectada num switch.
E as 3 placas estão conectadas no mesmo switch, ou, a eth0 está num switch diferente da eth2, etc.
E diga qual das 3 placas está conectada no modem/roteador, ou se uma delas está conectada em um outro servidor.

simberg
(usa Debian)

Enviado em 16/01/2014 - 08:53h

Eu tenho um Switch/Roteador de borda. Qualquer máquina que eu ligar nos meus switchs acessam esse Roteador. As máquinas com IP administrativo, acessam meu Firewall pq além de usarem um IP "não real" para a Internet, na configuração do default gateway aponto para meu servidor de firewall.

Se usar um IP real, a máquina independente de que switch estiver sai com esse IP. Diferente do que acontece na maioria das empresas ou em casas, que saem pelo IP do modem ou do Firewall pq em geral já tem um IP´s com nat para uso interno.

simberg
(usa Debian)

Enviado em 16/01/2014 - 09:21h

Na verdade todas as máquinas antes usavam seu próprio IP e navegavam por ele. Com a escassez do número de IP´s da versão4. Foi-se usando o sistema NAT que traduz um IP externo para outro interno e vice-versa, mas isso não é uma solução é um quebra galho que foi ficando e que tende a sumir com a vinda do IP versão 6.

Meu roteador de borda não faz NAT, faço isso com meus servidores.

Buckminster
(usa Debian)

Enviado em 16/01/2014 - 13:51h

Ok. Estou entendendo.
Mas me diga só mais uma coisa, você tem quantos links de entrada de internet, 1 ou 2?

E se puder poste aqui o conteúdo do arquivo /etc/network/interfaces do servidor.

E se você teve que fazer NAT assim mesmo, te aconselho a trocar esse roteador de borda por questões de segurança, eles são muito vulneráveis.

simberg
(usa Debian)

Enviado em 16/01/2014 - 14:13h

Obrigado, mas já dei um jeito usando outro Firewall. Resolveu meu problema, pois está usando um IP que ninguém usava.

Valeu pela força.

Buckminster
(usa Debian)

Enviado em 16/01/2014 - 14:33h

De nada.

Kalang0o
(usa Ubuntu)

Enviado em 18/01/2014 - 19:57h

m1n3r0;
Vo correr o risco de falar besteira, mas me fez pensar algo que resolveria tua "gambiarra": em vez de pegar o IP dinâmico
será que seria uma solução Criar um no-ip e colocá-lo no lugar ? Desculpa se falei besteira foi apenas uma idéia que vc me fez imaginar, mas tenta ai se tiver fundamento responde.