[CentOS-es] IPTables NAT IP externa a IP interna
Lic. Domingo Varela Yahuitl
domingov en linuxsc.net
Vie Feb 15 17:21:21 UTC 2013
No veo que se haga el nat de la ip externa con terminacion 237 apuntando a
la interna 192.168.0.134 en la salida del las tablas del iptables. ...
*DNAT*
#SMTP
$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25
$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25
$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 25 -j ACCEPT
*Donde: *
IPTABLES=`which iptables`
EXTERNAL=eth0
CORREO=IP_Publica (del segmento 111.222.333.444/27)
CORREO01=Ip Privada de nuestra LAN (Servidor)
2013/2/15 Ing. Ramon Resendiz <rresendiz en globaltrack.com.mx>
> Domingo te paso los resultados de los comandos:****
>
> ** **
>
> arp -n****
>
> ** **
>
> [root en mail ~]# arp -n|grep 0.134****
>
> 192.168.0.134 (incomplete)
> eth1****
>
> [root en mail ~]# arp -n|grep .233****
>
> X.X.X.233 ether 00:17:CB:B9:34:00 C eth0
> ****
>
> ** **
>
> Iptables –t nat –L –n –v****
>
> ** **
>
> Chain PREROUTING (policy ACCEPT 674K packets, 54M bytes)****
>
> pkts bytes target prot opt in out source
> destination****
>
> 127 6096 ACCEPT tcp -- * * 0.0.0.0/0
> 201.116.146.185 tcp dpt:80****
>
> 202 11464 DNAT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:5900 to:192.168.0.55:5900****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 ACCEPT all -- * * 192.168.0.53
> 0.0.0.0/24****
>
> 0 0 DNAT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:17477 to:192.168.0.97:17477****
>
> 0 0 DNAT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:20000 to:192.168.0.97:80****
>
> 2817 760K DNAT all -- * * 0.0.0.0/0
> X.X.X.235 to:192.168.0.135****
>
> 2397 737K DNAT all -- * * 0.0.0.0/0
> X.X.X.234 to:192.168.0.134****
>
> 0 0 ACCEPT tcp -- * * 0.0.0.0/0
> X.X.X.234 tcp dpt:80****
>
> 0 0 DNAT tcp -- * * 0.0.0.0/0
> X.X.X.235 tcp dpt:769 to:192.168.0.135:769****
>
> 0 0 DNAT tcp -- * * 0.0.0.0/0
> X.X.X.235 tcp dpt:80 to:192.168.0.135:80****
>
> 0 0 DNAT tcp -- * * 0.0.0.0/0
> X.X.X.234 tcp dpt:80 to:192.168.0.134:80****
>
> 0 0 DNAT tcp -- * * 0.0.0.0/0
> X.X.X.235 tcp dpt:26 to:192.168.0.135:26****
>
> 0 0 DNAT tcp -- * * 0.0.0.0/0
> X.X.X.234 tcp dpt:26 to:192.168.0.134:26****
>
> 0 0 ACCEPT tcp -- * * 0.0.0.0/0
> X.X.X.235 tcp dpt:80****
>
> 0 0 ACCEPT tcp -- * * 0.0.0.0/0
> X.X.X.234 tcp dpt:80****
>
> 0 0 DNAT tcp -- eth1 * 192.168.0.253
> 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80****
>
> 0 0 DNAT tcp -- eth1 * 192.168.0.218
> 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80****
>
> 0 0 DNAT tcp -- eth1 * 192.168.0.151
> 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80****
>
> 363 17424 DNAT tcp -- eth1 * 192.168.0.139
> 0.0.0.0/0 tcp dpt:80 to:209.197.88.118:80****
>
> 50 2400 ACCEPT tcp -- eth1 * 192.168.0.44
> 0.0.0.0/0 tcp dpt:80****
>
> 2252 117K ACCEPT tcp -- eth1 * 192.168.0.55
> 0.0.0.0/0 tcp dpt:80****
>
> 53 2544 ACCEPT tcp -- eth1 * 192.168.0.148
> 0.0.0.0/0 tcp dpt:80****
>
> 20 1040 ACCEPT tcp -- eth1 * 192.168.0.222
> 0.0.0.0/0 tcp dpt:80****
>
> 993 48504 ACCEPT tcp -- eth1 * 192.168.0.38
> 0.0.0.0/0 tcp dpt:80****
>
> 0 0 ACCEPT tcp -- eth1 * 192.168.0.110
> 0.0.0.0/0 tcp dpt:80****
>
> 56 2912 ACCEPT tcp -- eth1 * 192.168.0.6
> 0.0.0.0/0 tcp dpt:80****
>
> 1239 59472 ACCEPT tcp -- eth1 * 192.168.0.53
> 0.0.0.0/0 tcp dpt:80****
>
> 75 3600 ACCEPT tcp -- eth1 * 192.168.0.132
> 0.0.0.0/0 tcp dpt:80****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.53
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 4914 236K REDIRECT tcp -- * * 192.168.0.138
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 18 864 REDIRECT tcp -- * * 192.168.0.111
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 1868 99888 REDIRECT tcp -- * * 192.168.0.80
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 4 256 REDIRECT tcp -- * * 192.168.0.123
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.55
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.132
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.38
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 5925 319K REDIRECT tcp -- * * 192.168.0.239
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 4861 233K REDIRECT tcp -- * * 192.168.0.77
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 MAC 00:40:CA:6B:DC:C8 tcp dpt:80 redir ports 3128****
>
> 5020 241K REDIRECT tcp -- * * 192.168.0.65
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 1572 101K REDIRECT tcp -- * * 192.168.0.210
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 33 1584 REDIRECT tcp -- * * 192.168.0.76
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 1 48 REDIRECT tcp -- * * 192.168.0.40
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 105 5460 REDIRECT tcp -- * * 192.168.0.96
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.94
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.44
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 7196 345K REDIRECT tcp -- * * 192.168.0.48
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 410 21200 REDIRECT tcp -- * * 192.168.0.189
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 12892 619K REDIRECT tcp -- * * 192.168.0.164
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 124 5952 REDIRECT tcp -- * * 192.168.0.181
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 193 9264 REDIRECT tcp -- * * 192.168.0.206
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 18 864 REDIRECT tcp -- * * 192.168.0.109
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 2164 104K REDIRECT tcp -- * * 192.168.0.141
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 13794 662K REDIRECT tcp -- * * 192.168.0.160
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.61
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.110
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 374 17952 REDIRECT tcp -- * * 192.168.0.203
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.233
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 893 42864 REDIRECT tcp -- * * 192.168.0.62
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 19 912 REDIRECT tcp -- * * 192.168.0.200
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 22 1056 REDIRECT tcp -- * * 192.168.0.179
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 10 480 REDIRECT tcp -- * * 192.168.0.237
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 367 19084 REDIRECT tcp -- * * 192.168.0.64
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> 0 0 REDIRECT tcp -- * * 192.168.0.148
> 0.0.0.0/0 tcp dpt:80 redir ports 3128****
>
> ** **
>
> Chain POSTROUTING (policy ACCEPT 698K packets, 45M bytes)****
>
> pkts bytes target prot opt in out source
> destination****
>
> 29612 1686K SNAT all -- * eth0 192.168.0.0/24
> 0.0.0.0/0 to:X.X.X.236****
>
> 0 0 SNAT all -- * eth0 192.168.3.0/24
> 0.0.0.0/0 to:X.X.X.236****
>
> 0 0 SNAT all -- * eth0 192.168.100.0/24
> 0.0.0.0/0 to:X.X.X.236****
>
> 0 0 SNAT tcp -- * * 0.0.0.0/0
> 192.168.0.135 tcp dpt:769 to:X.X.X.235****
>
> 444 24968 SNAT tcp -- * * 0.0.0.0/0
> 192.168.0.135 tcp dpt:80 to:X.X.X.235****
>
> 51 2552 SNAT tcp -- * * 0.0.0.0/0
> 192.168.0.134 tcp dpt:80 to:X.X.X.234****
>
> 0 0 SNAT tcp -- * * 0.0.0.0/0
> 192.168.0.135 tcp dpt:26 to:X.X.X.235****
>
> 0 0 SNAT tcp -- * * 0.0.0.0/0
> 192.168.0.134 tcp dpt:26 to:X.X.X.234****
>
> ** **
>
> Chain OUTPUT (policy ACCEPT 692K packets, 44M bytes)****
>
> pkts bytes target prot opt in out source
> destination****
>
> ** **
>
> *De:* domingov en linuxsc.net [mailto:domingov en linuxsc.net]
> *Enviado el:* viernes, 15 de febrero de 2013 11:02 a.m.
> *Para:* centos-es en centos.org; centos-es en centos.org;
> rresendiz en globaltrack.com.mx
> *Asunto:* RE: [CentOS-es] IPTables NAT IP externa a IP interna****
>
> ** **
>
> Si ejecutas los comandos arp iptables -t nat -L-n -v ... que resultado
> tienes****
>
> Best Regards
> Domingo Varela Yahuitl.
> --
> (http://www.linuxsc.net)
> Sent from my android device SGS 2
> One step ahead.****
>
>
>
> -----Original Message-----
> From: "Ing. Ramon Resendiz" <rresendiz en globaltrack.com.mx>
> To: domingov en linuxsc.net, centos-es en centos.org, centos-es en centos.org
> Sent: vie, 15 feb 2013 10:58
> Subject: RE: [CentOS-es] IPTables NAT IP externa a IP interna****
>
> Domingo,****
>
> ** **
>
> Ya he realizado el cambio con las modificaciones que me pasaste pero el
> resultado es el mismo. El puerto queda cerrado o no esta haciendo
> correctamente el NAT de IP externa a IP interna.****
>
> ** **
>
> Saludos!****
>
> RR****
>
> ** **
>
> *De:* domingov en linuxsc.net [mailto:domingov en linuxsc.net<domingov en linuxsc.net>]
>
> *Enviado el:* viernes, 15 de febrero de 2013 10:41 a.m.
> *Para:* centos-es en centos.org; centos-es en centos.org;
> rresendiz en globaltrack.com.mx
> *Asunto:* Re: [CentOS-es] IPTables NAT IP externa a IP interna****
>
> ** **
>
> Intenta y modificar si es posible. ..****
>
> $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
> -j DNAT --to-destination $CORREO1:25****
>
> $IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT*
> ***
>
> Best Regards
> Domingo Varela Yahuitl.
> --
> (http://www.linuxsc.net)
> Sent from my android device SGS 2
> One step ahead.****
>
>
>
> -----Original Message-----
> From: "Ing. Ramon Resendiz" <rresendiz en globaltrack.com.mx>
> To: centos-es en centos.org
> Sent: vie, 15 feb 2013 10:18
> Subject: [CentOS-es] IPTables NAT IP externa a IP interna****
>
> Buenas tardes compañeros,
>
>
>
> Les expongo el siguiente caso que me ha estado quitando el sueño por
> varios
> días:
>
>
>
> Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que
> tiene IP externa (WAN) configuradas en la interface eth0; y además tiene
> IP
> virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además
> tiene
> un IP interna (LAN).
>
>
>
>
>
> eth0
>
> X.X.X.237
>
>
> eth0:1
>
> X.X.X.235
>
>
> eth0:2
>
> X.X.X.234
>
>
> eth0:3
>
> X.X.X.236
>
>
> eth1
>
> 192.168.0.1
>
>
>
> Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP
> (25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que
> pertenece a
> la red de la interface eth1.
>
> Estoy ejecutando las siguientes reglas con IPTables:
>
>
>
> iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j
> DNAT
> --to 192.168.0.134:25
>
> iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT
>
>
>
> Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo
> siguiente:
>
>
>
> 10:04:49.798208 <49798208> IP ip.origen.52036 > X.X.X.237.smtp: S
> 640946167:640946167(0) <6409461670>win 8192 <mss 1260,nop,wscale
> 8,nop,nop,sackOK>
>
> 10:04:52.797073 <52797073> IP ip.origen.52036 > X.X.X.237.smtp: S
> 640946167:640946167(0) <6409461670>win 8192 <mss 1260,nop,wscale
> 8,nop,nop,sackOK>
>
> 10:04:58.800293 <58800293> IP ip.origen.52036 > X.X.X.237.smtp: S
> 640946167:640946167(0) <6409461670>win 8192 <mss 1260,nop,nop,sackOK>
>
>
>
> Para no hacer tardado esto, el resultado es que al hacer telnet al puerto
> el
> tiempo de espera (timeout) termina cerrando la conexión.
>
>
>
> Alguna idea, sugerencia?
>
>
>
> Saludos!
>
> Ing. Ramón Resendiz
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es ****
>
--
Saludos cordiales
--
Lic. Domingo Varela Yahuitl
IT/Specialist -- Linux/Unix/Win
System Administrator and Technical Support
Web Site: http://www.linuxsc.net
Twitter: http://www.twitter.com/linuxsc
MSN: domingov en yahoo.com
Más información sobre la lista de distribución CentOS-es