Hardware y software

iptables y portforwarding

DiSKuN
DiSKuN #1 Oct '13 Gafe

Buenas,

Espero que algún gurú de redes me pueda ayudar.

Tengo un marrón encima y necesito solucionarlo.

Resulta que tengo una máquina que hace de proxy (P) a un servidor web (W), y necesito redirigir las peticiones por el puerto 80 y 443 qu eentren por P a W, y que W las devuelva. Algo así

Pc cualquiera -------80 o 443----------> Proxy (P) -----------80 o 443-----------> servidor web(W)
Pc cualquiera <---------------------------- Proxy(P) <---------------------------------- servidor web (W)

El proxy tiene iptables y he de hacerlo con eso y no consigo hacerlo funcionar. Como mucho consigo que Servidor Web (W) responda a Proxy (P) y ahí se queda.

Saludos

SiKoPaTa
SiKoPaTa #2 Oct '13

http://www.pello.info/filez/firewall/iptables.html#32

Nose si te ayudará mucho pero algo es algo.

iptables -P OUTPUT ACCEPT

1 1 respuesta
DiSKuN
DiSKuN #3 Oct '13 Gafe

#2 gracias, le echaré un ojo mañana en el trabajo

Saludos

_Akiles_
_Akiles_ #4 Oct '13 Sellsword

#1 de mis apuntes de Squid tengo esto

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to IP_SERVIDOR_WEB:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to IP_SERVIDOR_WEB:443

Aunque yo tenia un proxy transparente, que no se si es el caso.

1 respuesta
DiSKuN
DiSKuN #5 Oct '13 Gafe

#4 eso ya lo he probado, y la conexión llega al servidor web, pero este al contestar, contesta directamente a la máquina que hace la petición, y yo necesito que al responder, pase por el proxy.

No se si me explico bien

1 respuesta
_Akiles_
_Akiles_ #6 Oct '13 Sellsword

#5 el proxy es transparente ? osea, esta enrutando el trafico? si es asi quizas tengas que hacer SNAT para que todas las peticiones salgan con la IP del servidor proxy, asi el trafico de vuelta sera al proxy.

Bueno, mejor dicho, SNAT no es totalmente necesario, habria que ver el escenario, en un principio, con el proxy transparente ya pasaria todo el trafico de vuelta por ahi.

1 respuesta
ElRuso
ElRuso #7 Oct '13

No se si es posible con iptables a pelo, pero si no es un proxy/fw "transparente" como dice Akiles tienes que hacer PAT o Static Nat por cada IP local (supongo que es SNAT en #6).
Pensando que usas iptables, supongo que la maquina usa Linux. Estoy mas que seguro que puedes hacer PAT alli de algun modo.

\//
Eso es, masquerading, ya ni me acordaba de tal palabra :)

1 respuesta
_Akiles_
_Akiles_ #8 Oct '13 Sellsword

PAT es a lo que me refiero, vamos, el masquerade de iptables.

1 1 respuesta
DiSKuN
DiSKuN #9 Oct '13 Gafe

A que os referís con proxy trasparente?

1 respuesta
_Akiles_
_Akiles_ #10 Oct '13 Sellsword

#9 un proxy que hace de router/firewall, no lo configuras en el navegador de los equipos si no que directamente es su puerta de enlace.

1 respuesta
DiSKuN
DiSKuN #11 Oct '13 Gafe

#10 si bueno, esa es la idea. Que todo el tráfico que le entra por los puertos 80,443 y otros, los encamine al web server sin mas y este lo devuelva al proxy y este al pc que hsce la peticion. Como en el croquis guarro de #1

#8 como quedarían entonces las reglas?

Edit:

Bueno, ya he conseguido hacerlo funcionar con SAT tal y como decíais #7 y #8
Gracias!

Saludos!

1
ElRuso
ElRuso #12 Oct '13

Congrats.

Usuarios habituales

  • ElRuso
  • DiSKuN
  • _Akiles_
  • SiKoPaTa

Tags