Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[TCP-IP] Ip de origen en proceso local (SOLVED)
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Spanish
View previous topic :: View next topic  
Author Message
ZaPa
l33t
l33t


Joined: 13 Feb 2007
Posts: 717

PostPosted: Mon Jan 31, 2011 11:20 pm    Post subject: [TCP-IP] Ip de origen en proceso local (SOLVED) Reply with quote

Hola.

Estoy funcionando con squid actualmente, pero al intentar insertar una regla para marcar paquetes que vengan desde la red local no lo consigo....

Primero.. redirecciono las peticiones del puerto 80 a squid que esta a la escucha por el puerto '8080'...
(estas reglas estan ejecutandose en la misma máquina que squid)

[eth0 - interfáz de la red local y eth1 - Interfáz wan]

Code:

iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.15.0/24  --dport 80 -j DNAT --to 192.168.15.1:8080


Ok... ahora, al intentar marcar los paquetes que salen de eth1, de la siguiente forma, no funciona...

Code:

iptables -t mangle -A POSTROUTING -o eth1 -s 192.168.15.0/24 --dport 80 -j MARK --set-mark blblabjalb
iptables -t mangle -A POSTROUTING -o eth1 -s 192.168.15.0/24 --dport 80 -j RETURN


Me encuentro que esta regla no funciona :S al parece no concuerda con ningún paquete... y al hacer:

Code:

iptables -t mangle -A POSTROUTING -o eth1 --dport 80 -j MARK --set-mark blblabjalb
iptables -t mangle -A POSTROUTING -o eth1 --dport 80 -j RETURN


Sin especificar la dirección de la red local como dirección de origen funciona......

Y si lo intento con --sport 8080 (ip de squid) tampoco funciona......


Mi pregunta es....

Al redireccionar paquetes a una dirección ip, este paquete pierde la dirección y puerto de origen?


Un saludo.
Espero respuestas.
_________________
--
http://www.monovarlinux.org
Pagina web del proyecto AutoLinux (Autodetección e instalación de drivers para linux) y tutoriales
En Mantenimiento...


Last edited by ZaPa on Thu Feb 10, 2011 12:03 am; edited 1 time in total
Back to top
View user's profile Send private message
paynalton
Tux's lil' helper
Tux's lil' helper


Joined: 24 Jun 2006
Posts: 106
Location: Mexico

PostPosted: Mon Jan 31, 2011 11:44 pm    Post subject: Reply with quote

mmm, estas intentando marcar los paquetes que van hacia internet???

en tal caso, deberías marcar con mangle los paquetes antes de redireccionarlos, poniendolos en prerouting en lugar de postrouting y en un nivel superior a el desvio que haces para el puerto 8080.
_________________
"Si un ave no rompe su huevo morirá antes de nacer.... Nosotros somos el ave y el mundo es nuestro huevo. POR LA REVOLUCION DEL MUNDO!!!!" Utena
Back to top
View user's profile Send private message
ZaPa
l33t
l33t


Joined: 13 Feb 2007
Posts: 717

PostPosted: Tue Feb 01, 2011 1:46 am    Post subject: Reply with quote

Hola.

¿Debo marcar antes de la redirección al puerto 8080? porque? despues de la redirección no se puede marcar el paquete?
consigo marcarlo pero sin --sport ni -s y me gustaria saber si es que se pierden estos datos al hacer un redireccionamiento con NAT..

De todas formas..para hacer lo que mencionas, deberia de marcar en PREROUTING pero utilizando como interfáz de entrada eth0 que seria la del lado del LAN.... ¿cierto?

Como he comentado en mi anterior post, he podido marcar el tráfico pero mi cuestión es si despues de un redireccionamiento se pierde la ip de origen (-s) y puerto de origen (--sport)...

Un saludo.
_________________
--
http://www.monovarlinux.org
Pagina web del proyecto AutoLinux (Autodetección e instalación de drivers para linux) y tutoriales
En Mantenimiento...
Back to top
View user's profile Send private message
paynalton
Tux's lil' helper
Tux's lil' helper


Joined: 24 Jun 2006
Posts: 106
Location: Mexico

PostPosted: Tue Feb 01, 2011 2:04 pm    Post subject: Reply with quote

imagina que los paquetes son eso, paquetes, y que al llegar por el puerto un "administrador de cola" revisa la dirección a la que estan destinados, la prioridad, la ruta, todo, y los coloca en la bandeja para que los repartidores hagan sus entregas.

IPTables funciona como un intruso que cambia las direciones antes de que los paquetes lleguen al gestor de cola, en este caso, cambias el número de puerto del 80 al 8080.

Aparte, squid procesa todos los paquetes y lanza dcopias de los mismos, recibe las respuestas y manda nuevos paquetes de regreso, siguiendo sus propias reglas como si fuese un agente de la aduana, de manera que todos los paquetes que salen de squid salen como si pertenecieran al equipo local.
_________________
"Si un ave no rompe su huevo morirá antes de nacer.... Nosotros somos el ave y el mundo es nuestro huevo. POR LA REVOLUCION DEL MUNDO!!!!" Utena
Back to top
View user's profile Send private message
ZaPa
l33t
l33t


Joined: 13 Feb 2007
Posts: 717

PostPosted: Tue Feb 01, 2011 3:08 pm    Post subject: Reply with quote

Problema solventado.

Al realizar un redireccionamiento del tráfico pasa a ser tráfico de un proceso local entrante (INPUT) al tener squid en la misma máquina que se ejecutan las reglas iptables.

Era como lo creia.

Saludos.
_________________
--
http://www.monovarlinux.org
Pagina web del proyecto AutoLinux (Autodetección e instalación de drivers para linux) y tutoriales
En Mantenimiento...
Back to top
View user's profile Send private message
briseo
n00b
n00b


Joined: 19 Jun 2013
Posts: 1

PostPosted: Wed Jun 19, 2013 5:24 am    Post subject: Reply with quote

Hola buenas, porfa si me pueden ayudar, tengo squid funcionando en mi pc por la cual toda mi red lan sale a internet, estoy intentando marcar los paquetes de correo electronico (SMTP), la cual no me funciona.

iptables -t mangle -A PREROUTING --dport 25 -j MARK --set-mark 1

Por favor si m pueden decir cual es el error o si hace falta mas reglas. Gracias
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Spanish All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum