[CentOS-es] IPTables NAT IP externa a IP interna
Ing. Ramon Resendiz
rresendiz en globaltrack.com.mx
Vie Feb 15 17:08:59 UTC 2013
Domingo te paso los resultados de los comandos:
arp -n
[root en mail ~]# arp -n|grep 0.134
192.168.0.134 (incomplete) eth1
[root en mail ~]# arp -n|grep .233
X.X.X.233 ether 00:17:CB:B9:34:00 C eth0
Iptables –t nat –L –n –v
Chain PREROUTING (policy ACCEPT 674K packets, 54M bytes)
pkts bytes target prot opt in out source destination
127 6096 ACCEPT tcp -- * * 0.0.0.0/0 201.116.146.185 tcp dpt:80
202 11464 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 to:192.168.0.55:5900
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 ACCEPT all -- * * 192.168.0.53 0.0.0.0/24
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17477 to:192.168.0.97:17477
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20000 to:192.168.0.97:80
2817 760K DNAT all -- * * 0.0.0.0/0 X.X.X.235 to:192.168.0.135
2397 737K DNAT all -- * * 0.0.0.0/0 X.X.X.234 to:192.168.0.134
0 0 ACCEPT tcp -- * * 0.0.0.0/0 X.X.X.234 tcp dpt:80
0 0 DNAT tcp -- * * 0.0.0.0/0 X.X.X.235 tcp dpt:769 to:192.168.0.135:769
0 0 DNAT tcp -- * * 0.0.0.0/0 X.X.X.235 tcp dpt:80 to:192.168.0.135:80
0 0 DNAT tcp -- * * 0.0.0.0/0 X.X.X.234 tcp dpt:80 to:192.168.0.134:80
0 0 DNAT tcp -- * * 0.0.0.0/0 X.X.X.235 tcp dpt:26 to:192.168.0.135:26
0 0 DNAT tcp -- * * 0.0.0.0/0 X.X.X.234 tcp dpt:26 to:192.168.0.134:26
0 0 ACCEPT tcp -- * * 0.0.0.0/0 X.X.X.235 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 X.X.X.234 tcp dpt:80
0 0 DNAT tcp -- eth1 * 192.168.0.253 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80
0 0 DNAT tcp -- eth1 * 192.168.0.218 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80
0 0 DNAT tcp -- eth1 * 192.168.0.151 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80
363 17424 DNAT tcp -- eth1 * 192.168.0.139 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80
50 2400 ACCEPT tcp -- eth1 * 192.168.0.44 0.0.0.0/0 tcp dpt:80
2252 117K ACCEPT tcp -- eth1 * 192.168.0.55 0.0.0.0/0 tcp dpt:80
53 2544 ACCEPT tcp -- eth1 * 192.168.0.148 0.0.0.0/0 tcp dpt:80
20 1040 ACCEPT tcp -- eth1 * 192.168.0.222 0.0.0.0/0 tcp dpt:80
993 48504 ACCEPT tcp -- eth1 * 192.168.0.38 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- eth1 * 192.168.0.110 0.0.0.0/0 tcp dpt:80
56 2912 ACCEPT tcp -- eth1 * 192.168.0.6 0.0.0.0/0 tcp dpt:80
1239 59472 ACCEPT tcp -- eth1 * 192.168.0.53 0.0.0.0/0 tcp dpt:80
75 3600 ACCEPT tcp -- eth1 * 192.168.0.132 0.0.0.0/0 tcp dpt:80
0 0 REDIRECT tcp -- * * 192.168.0.53 0.0.0.0/0 tcp dpt:80 redir ports 3128
4914 236K REDIRECT tcp -- * * 192.168.0.138 0.0.0.0/0 tcp dpt:80 redir ports 3128
18 864 REDIRECT tcp -- * * 192.168.0.111 0.0.0.0/0 tcp dpt:80 redir ports 3128
1868 99888 REDIRECT tcp -- * * 192.168.0.80 0.0.0.0/0 tcp dpt:80 redir ports 3128
4 256 REDIRECT tcp -- * * 192.168.0.123 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.55 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.132 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.38 0.0.0.0/0 tcp dpt:80 redir ports 3128
5925 319K REDIRECT tcp -- * * 192.168.0.239 0.0.0.0/0 tcp dpt:80 redir ports 3128
4861 233K REDIRECT tcp -- * * 192.168.0.77 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:40:CA:6B:DC:C8 tcp dpt:80 redir ports 3128
5020 241K REDIRECT tcp -- * * 192.168.0.65 0.0.0.0/0 tcp dpt:80 redir ports 3128
1572 101K REDIRECT tcp -- * * 192.168.0.210 0.0.0.0/0 tcp dpt:80 redir ports 3128
33 1584 REDIRECT tcp -- * * 192.168.0.76 0.0.0.0/0 tcp dpt:80 redir ports 3128
1 48 REDIRECT tcp -- * * 192.168.0.40 0.0.0.0/0 tcp dpt:80 redir ports 3128
105 5460 REDIRECT tcp -- * * 192.168.0.96 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.94 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.44 0.0.0.0/0 tcp dpt:80 redir ports 3128
7196 345K REDIRECT tcp -- * * 192.168.0.48 0.0.0.0/0 tcp dpt:80 redir ports 3128
410 21200 REDIRECT tcp -- * * 192.168.0.189 0.0.0.0/0 tcp dpt:80 redir ports 3128
12892 619K REDIRECT tcp -- * * 192.168.0.164 0.0.0.0/0 tcp dpt:80 redir ports 3128
124 5952 REDIRECT tcp -- * * 192.168.0.181 0.0.0.0/0 tcp dpt:80 redir ports 3128
193 9264 REDIRECT tcp -- * * 192.168.0.206 0.0.0.0/0 tcp dpt:80 redir ports 3128
18 864 REDIRECT tcp -- * * 192.168.0.109 0.0.0.0/0 tcp dpt:80 redir ports 3128
2164 104K REDIRECT tcp -- * * 192.168.0.141 0.0.0.0/0 tcp dpt:80 redir ports 3128
13794 662K REDIRECT tcp -- * * 192.168.0.160 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.61 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.110 0.0.0.0/0 tcp dpt:80 redir ports 3128
374 17952 REDIRECT tcp -- * * 192.168.0.203 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.233 0.0.0.0/0 tcp dpt:80 redir ports 3128
893 42864 REDIRECT tcp -- * * 192.168.0.62 0.0.0.0/0 tcp dpt:80 redir ports 3128
19 912 REDIRECT tcp -- * * 192.168.0.200 0.0.0.0/0 tcp dpt:80 redir ports 3128
22 1056 REDIRECT tcp -- * * 192.168.0.179 0.0.0.0/0 tcp dpt:80 redir ports 3128
10 480 REDIRECT tcp -- * * 192.168.0.237 0.0.0.0/0 tcp dpt:80 redir ports 3128
367 19084 REDIRECT tcp -- * * 192.168.0.64 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 192.168.0.148 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 698K packets, 45M bytes)
pkts bytes target prot opt in out source destination
29612 1686K SNAT all -- * eth0 192.168.0.0/24 0.0.0.0/0 to:X.X.X.236
0 0 SNAT all -- * eth0 192.168.3.0/24 0.0.0.0/0 to:X.X.X.236
0 0 SNAT all -- * eth0 192.168.100.0/24 0.0.0.0/0 to:X.X.X.236
0 0 SNAT tcp -- * * 0.0.0.0/0 192.168.0.135 tcp dpt:769 to:X.X.X.235
444 24968 SNAT tcp -- * * 0.0.0.0/0 192.168.0.135 tcp dpt:80 to:X.X.X.235
51 2552 SNAT tcp -- * * 0.0.0.0/0 192.168.0.134 tcp dpt:80 to:X.X.X.234
0 0 SNAT tcp -- * * 0.0.0.0/0 192.168.0.135 tcp dpt:26 to:X.X.X.235
0 0 SNAT tcp -- * * 0.0.0.0/0 192.168.0.134 tcp dpt:26 to:X.X.X.234
Chain OUTPUT (policy ACCEPT 692K packets, 44M bytes)
pkts bytes target prot opt in out source destination
De: domingov en linuxsc.net [mailto:domingov en linuxsc.net]
Enviado el: viernes, 15 de febrero de 2013 11:02 a.m.
Para: centos-es en centos.org; centos-es en centos.org; rresendiz en globaltrack.com.mx
Asunto: RE: [CentOS-es] IPTables NAT IP externa a IP interna
Si ejecutas los comandos arp iptables -t nat -L-n -v ... que resultado tienes
Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.
-----Original Message-----
From: "Ing. Ramon Resendiz" <rresendiz en globaltrack.com.mx>
To: domingov en linuxsc.net, centos-es en centos.org, centos-es en centos.org
Sent: vie, 15 feb 2013 10:58
Subject: RE: [CentOS-es] IPTables NAT IP externa a IP interna
Domingo,
Ya he realizado el cambio con las modificaciones que me pasaste pero el resultado es el mismo. El puerto queda cerrado o no esta haciendo correctamente el NAT de IP externa a IP interna.
Saludos!
RR
De: domingov en linuxsc.net [mailto:domingov en linuxsc.net]
Enviado el: viernes, 15 de febrero de 2013 10:41 a.m.
Para: centos-es en centos.org; centos-es en centos.org; rresendiz en globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna
Intenta y modificar si es posible. ..
$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25
$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT
Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.
-----Original Message-----
From: "Ing. Ramon Resendiz" <rresendiz en globaltrack.com.mx>
To: centos-es en centos.org
Sent: vie, 15 feb 2013 10:18
Subject: [CentOS-es] IPTables NAT IP externa a IP interna
Buenas tardes compañeros,
Les expongo el siguiente caso que me ha estado quitando el sueño por varios
días:
Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que
tiene IP externa (WAN) configuradas en la interface eth0; y además tiene IP
virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además tiene
un IP interna (LAN).
eth0
X.X.X.237
eth0:1
X.X.X.235
eth0:2
X.X.X.234
eth0:3
X.X.X.236
eth1
192.168.0.1
Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP
(25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que pertenece a
la red de la interface eth1.
Estoy ejecutando las siguientes reglas con IPTables:
iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT
--to 192.168.0.134:25
iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT
Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo
siguiente:
10:04:49.798208 <tel:49798208> IP ip.origen.52036 <tel:52036> > X.X.X.237.smtp: S
640946167:640946167(0) <tel:6409461670> win 8192 <mss 1260,nop,wscale 8,nop,nop,sackOK>
10:04:52.797073 <tel:52797073> IP ip.origen.52036 <tel:52036> > X.X.X.237.smtp: S
640946167:640946167(0) <tel:6409461670> win 8192 <mss 1260,nop,wscale 8,nop,nop,sackOK>
10:04:58.800293 <tel:58800293> IP ip.origen.52036 <tel:52036> > X.X.X.237.smtp: S
640946167:640946167(0) <tel:6409461670> win 8192 <mss 1260,nop,nop,sackOK>
Para no hacer tardado esto, el resultado es que al hacer telnet al puerto el
tiempo de espera (timeout) termina cerrando la conexión.
Alguna idea, sugerencia?
Saludos!
Ing. Ramón Resendiz
_______________________________________________
CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es