Forums:
necesito ayuda
llevo varios dias buscando en google y no le hayo como hacerle
tengo una red con dos subredes conectado infinitum ADSL, de la siguiente manera
PC-SERVER con tres placas de red
eth0---->10.2.214.2
ADSLtelmex----->eth1
eth2---->192.168.2.1
la eth0 se conecta aun SWICHT que es la subred 10.2.214.X aqui hay un servidor de mysql
en la 10.2.214.1 esta red es administrativa y todos los de esta red se conectan al server
de mysql sin ningun problema
la eth2 se conecta a un SWICHT que es la subred 192.168.2.X esta subred funciona muy bien
con internet, bien ahora quiero que se conecte al servidor 10.2.214.1 que forzosamente tiene que pasar en la eth0 (ip 10.2.214.2), mi rutas estan asi
>route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.214.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.254 0.0.0.0 UG 1 0 0 eth1
si voz se da cuenta solo tengo el gateway a 192.168.1.254
es por donde sale hacia internet
cuando agrego algun cambio a mi tabla de ruteo ya sea del a subred eth0 a la eth2
o bien de la eth2 a la eth0 se bloquea mi conexion a internet
que hice leyendo he investigando esto es posible con el iptables, pero no he logrado
aplique la siguiente regla
iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 3306 -m state \
--state NEW,ESTABLISHED -j ACCEPT
aqui le damos acceso en ambos lados de la subred al puerto 3306
pero la siguiente linea desvia el puerto hacia la ip
iptables -t nat -a PREROUTING -i eth2 -o eth0 -p tcp -dport 3306 \
-j DNAT -to 10.2.214.1:3306
es para que desde internet se conecten a mi servidor y yo no quiero esto
use el POSTROUTING
iptables -t nat -A POSTROUTING -p tcp --sport 3306 -o eth2 -s 192.168.2.0/24 \
-j SNAT --to-source 10.2.214.1
y el OUTPUT
iptables -A OUTPUT -t nat -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306
y no jala :) :) :)
bien aqui despliego mi pequeño script
de antemano Gracias por su colaboracion
iptables -t filter -F
iptables -t nat -F
#limpiar las cadena
iptables -P INPUT DROP
#por default bloquear todo
#iptables -N FLOOD
#iptables -A FLOOD -m limit --limit 2/s --limit-burst 5 -j RETURN
#iptables -A FLOOD -j DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
#usar el lo y la red local solo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j FLOOD
iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 3306 -m state \
--state NEW,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --sport 3306 -o eth2 -s 192.168.2.0/24 \
-j SNAT --to-source 10.2.214.1
iptables -A OUTPUT -t nat -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306
iptables -t nat -A POSTROUTING -s 10.2.214.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
Espero su ayuda
Saludos
desviar ip deuna subred a otra subred con iptables "Solucionado"
Gracias Amigos
Solucionado
Gracias Amigos por su valiosa intervencion oportuna
encontre un link
y ya le entendi mejor
http://lists.netfilter.org/pipermail/netfilter/2007-January/067880.html
lo que pasa, que se tiene que hacer un MASQUERADE a las interfaces de la subred
osea enmascarar la conexion de ambas subred
despues todo aquello que llega al server 10.2.214.2 a la interface
eth0 que lo reenvie al server mysql 10.2.214.1 al puerto 3306
y posteriormente en el server local todo lo que llega por el puerto 3306
que lo reenvie al server mysql y listo.
aqui esta las lineas.
iptables --table nat -A POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --table nat -A POSTROUTING --out-interface eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3306 -j DNAT --to 10.2.214.1
iptables -t nat -A OUTPUT -o lo -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306
Gracias amigos Muchas gracias
Saludos
Jaguar Negro
Hola amigo
Hola amigo jaguarnegro!
Sabes que yo vi tu pregunta hace días, y la verdad como creo que les debe haber pasado a casi todos los que lo leyeron.. Lo abrí y era TAAAAAAAAAN largo que no lo leí y lo ignoré.
Era suficiente, en realidad con poner.. "como desvio una ip 192.168.2.1 hacia otra ip 10.2.214.1 internamente LAN con IPTABLES" y nada mas.. por que tambien la respuesta es una línea nada mas.
Tenías la oportunidad de ver en el link de BUSCAR, ya que se ha posteado varias veces y todo el mundo a respondido a esa pregunta en el pasado.
Saludos cordiales,
NEO
- - - - - -
www.bodegadelmp3.com