Oi Marcos;
Na verdade criar a interface virtual resolveu o problema, o que eu precisava era de uma
explicação para o fato.
Em http://www.linuxquestions.org/questions/archive/4/2004/07/1/201220 encontrei a seguinte
referência: "iptables doesn't support virtual ip aliasing. So you really have two ways to
do this. First you can buy new NICs for the additional IPs. Alternatively, you can setup
virtual IPs like you've explained. (...)"
Isto até que esclareceu minhas dúvidas, o que me deixou encafifado foi não encontrar esta
informação em nenhuma documentação oficial do Netfilter/Iptables.
Os dois endereços utilizados na mesma interface, 172.16.8.32 e 172.16.8.254, foram
necessários exatamente para permitir fazer NAT (sem masquerade e sem PAT) em uma
determinada máquina. O primeiro IP é o IP "natural" da interface (eth0) e o segundo é o IP
virtual (eth0:0) utilizado no referido NAT.
[]'s,
Sergio Luz
Marcos Vinicius Lazarini wrote:
Sergio, talvez esse problema jah esteja resolvido, mas uma pergunta:
nao entendi pq vc usa dois enderecos IPs diferentes (172.16.8.32 e
172.16.8.254). Qual eh qual?
como estah configurada a maquina que interliga as duas redes? ips, rotas,
etc?
--
Marcos Lazarini
On Wed, 24 Nov 2004, Sergio Luz wrote:
Pessoal;
Estou preparando material sobre firewall com iptables e montei um lab pra isto. Disponho
duas redes: 172.16.8.0/255.255.248.0 (minha rede externa) e 192.168.254.0/255.255.255.0
(minha rede privada).
Estou utilizando o kernel 2.4.27 devidamente configurado e com quase todas op��es do
Netfilter habilitadas como parte do kernel, algumas como m�dulo e apenas as experimentais
foram deixadas de fora. A distribui��o � um Debian sarge (testing).
A vers�o do iptables � a 1.2.11 instalada atrav�s de compila��o e a pol�tica padr�o das
chains de todas as tabelas � ACCEPT. Comecei fazendo MASQUERADE da minha rede interna
(192.168.254.0/24) pra tudo que passasse por eth0 (que est� na rede externa) e funcionou
beleza.
Segundo todas as refer�ncias que li, para fazer um NAT est�tico bastaria utilizar o
seguinte par de regras:
#iptables -t nat -A POSTROUTING -s 192.168.254.32 -j SNAT �to-source 172.16.8.32
#iptables -t nat -A PREROUTING -d 172.16.8.32 -j DNAT �to-destination
192.168.254.32
Lembrando que o IP utilizado para fazer este NAT (172.16.8.32) n�o � o mesmo da interface
eth0 (172.16.8.254).
Como n�o funcionou, continuei a pesquisa e em todo lugar encontrava sempre o mesmo par de
comandos, as vezes cita��es da necessidade de apenas o primeiro comando. Como s�
encontrava refer�ncias de NAT utilizando redirecionamento de porta, o que n�o � meu caso,
editei o arquivo /etc/network/interfaces e adicionei a seguinte interface virtual:
auto eth0:1
iface eth0:1 inet static
address 172.16.8.32
netmask 255.255.248.0
gateway 172.16.15.254
Quando reinicialize a interface, o NAT passou a funcionar. Continuei buscando uma
explica��o e n�o encontrei qualquer refer�ncia a este comportamento. A pergunta que fa�o
�: isto � assim mesmo, ou deixei de fazer alguma outra coisa e improvisei (mesmo sem
querer) uma solu��o? Se o procedimento � este mesmo, por que nem na NAT-HOWTO est� descrito?
Valeu!
