[CentOS-es] IPtables y 1 interface

David González Romero dgrvedado en gmail.com
Lun Mar 14 11:53:32 UTC 2016


Hola Lista:

Tengo un pequeño server Cento6.x temporal que quiero montar para hacer
un simple NAT de la red. Este server tiene solo 1 interfaz de red
"eth0"

eth0 tiene la configuración IP del proveedor que me permite la salida
a internet. Y yo le creo una interfaz de red virtual eth0:1 con la
configuración:
/etc/sysconfig/network-scripts/ifcfg-eth0:1
DEVICE=eth0:1
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=52:54:00:90:0E:A7
IPADDR=10.10.0.1
NETMASK=255.255.0.0
NAME="System eth0:1"

En el mismo puse un squid y con el squi puedo navegar, pero a la hora
de hacer el NAT no me funciona.
/etc/system/iptables
*nat
:PREROUTING ACCEPT [682:48594]
:POSTROUTING ACCEPT [1270:63654]
:OUTPUT ACCEPT [1270:63654]
-A POSTROUTING -s 10.10.0.0/16 -o eth0:1 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.10.0.0/16 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 10.10.0.0/16 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Esta habilitado el bit de ip_forward = 1

Desde 10.10.0.2 puedo hacer ping a 10.10.0.1 y a la IP del proveedor.
Pero no me permite hacer más nada.

Alguna sugerencia con relación a la regla de enmascaramiento??

Saludos,
David


Más información sobre la lista de distribución CentOS-es