- Este tópico contém 6 respostas, 4 vozes e foi atualizado pela última vez 10 anos, 11 meses atrás por
.
- Posts
Qual a necessidade?
Você tem um serviço interno que é publicado para a internet e quer acessar pelo ip da WAN do seu Endian e não pelo ip interno da máquina.
1º – Você deve criar uma regra de DNAT:
Segue o print da regra.
http://tinypic.com/r/33di4jl/5
Agora o “pulo do gato”.
2º – Você tem que criar uma regra de SNAT, para que a máquina de destino consiga responder a requisição, é a mesma ideia de você conseguir acessar uma máquina via redirecionamento que ela esteja sem gateway configurado, você faz um NAT para que a requisição seja feita através de uma máquina da mesma rede onde ela esteja para que ela saiba responder sem precisar de gateway..
http://tinypic.com/view.php?pic=9uazqt&s=5
Explicando a imagem.
Origem: Rede interna.
Destino: Máquina real de destino, a máquina da rede interna.
Porta: Porta de destino igual a da regra de DNAT.
NAT: Ip do Endian que esteja na mesma rede da máquina que tem o serviço que deve ser acessado.
Curiosidade, as regras via cli:
root@laboratorio:~ # iptables-save |grep -i 3389
-A PORTFW -d 172.18.5.218/32 -p tcp -m tcp –dport 3389 -j DNAT –to-destination 192.168.50.150:3389
-A SOURCENAT -s 192.168.50.0/24 -d 192.168.50.150/32 -o br0 -p tcp -m tcp –dport 3389 -j SNAT –to-source 192.168.50.1
-A PORTFWACCESS -d 192.168.50.150/32 -p tcp -m tcp –dport 3389 -j ALLOW
Havia visto várias pessoas perguntando como faria pra fazer acesso há um DNAT de dentro da rede, mas sempre as respostas eram através de DNS, seguindo esses passos você faz o acesso sem alterar nada no DNS.
Qualquer dúvida é só falar.
att,
Diego Pontes.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Bem estranho isso, mas tranquilo, se deu certo é o que importa, a pergunta é: Quando eu estiver dentro da impreza ou fora eu digitar http://endereco.com.br vaia cessar normalmente? Pois SNAT trata ip e porta não nomes, igual vai ter que ter um DNS resolvendo esse nome não é?
Somente mantenha os créditos do usuário que postou a solução
@eduardojonk estamos falando da camada de transporte e no final das contas tudo é ip e porta, o DNS vai tratar na camada de aplicação o FQDN e traduzir em ip, se traduzir para o ip da WAN vai funcionar sim, nesse caso, sem precisar ter um DNS interno..
@mvldebian não sei quem postou a solução, nem vi esse post, fui testando via iptables, quando deu certo, fiz via interface, não fiz nenhuma consulta para a criação desse tópico.
@mvldebian e mesmo olhando o tópico que você postou, não consegui achar relações com o tópico que postei, ele até fala do SNAT, mas ERRA o DESTINO, faz a regra com todas as portas, sendo que para funcionar basta a porta real e ERRA o NAT. Resumindo, ele erra praticamente tudo.
Fazia muito isso em outros firewalls, só que nunca havia aparecido essa demanda no Endian, como algumas pessoas na comunidade do Endian estavam precisando fui fazê-la.
Abraços.
- O tópico ‘Como acessar um redirecionamento externo de dentro da rede local.’ está fechado para novas respostas.