Como você encaminha para a interface secundária na mesma porta física?

1

INTERNET < - > (wan) BRIDGED_DEVICE (lan) < - > ETH_ROUTER < - > LAN

Problema:
Necessidade de acessar o servidor da web na LAN do BRIDGED_DEVICE da INTERNET através do ROUTER (o servidor da web BRIDGED_DEVICE não pode ser acessado no formulário INTERNET desde que ele não tenha um IP de gerenciamento público).

Tentativa:
Crie uma interface WAN secundária / alias em ETH_ROUTER (por exemplo, Primary: eth0.1 (para acesso à Internet) e Secondary: eth0.2 (para acessar o servidor da Web em BRIDGED_DEVICE), (sem VLANs).

  • eth0.1 tem um IP público;
  • A eth0.2 tem um IP privado estático na sub-rede do BRIDGED_DEVICE (por exemplo, 10.0.X.Y).

Iptables em ETH_ROUTER: Adicionada uma porta em frente (DNAT) de eth0.1 para eth0.2:

iptables -t nat -I PREROUTING -i eth0.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.X.Y
iptables -t nat -I POSTROUTING -o eth0.2 -s 10.0.X.0/24 -j MASQUERADE

Firewall com estado com política de descarte geral na cadeia FORWARD, portanto:

 iptables -I FORWARD -i eth0.1 -d 10.0.X.Y -p tcp --dport 80 -j ACCEPT

É possível efetuar ping de ETH_ROUTER para BRIDGED_DEVICE, mas não é possível acessar o servidor da Web pela Internet. Eu vejo o pacote cont aumentando para a regra DNAT, mas não tenho certeza onde ele desaparece no ETH_ROUTER depois disso.

ETH_ROUTER é o único dispositivo que pode ser configurado para isso.

Se você estiver familiarizado com este cenário, por favor, sugira o que eu possa estar faltando ou fazendo algo errado aqui ou sugira técnicas para depurar?

    
por sjose109 07.06.2014 / 00:31

1 resposta

0

Verifique o gateway padrão no dispositivo em ponte e a regra de encaminhamento do dispositivo em ponte para a Internet também. Se você não se importa com o IP da fonte da internet, você pode adicionar uma fonte nat do roteador ao dispositivo em ponte.

    
por 07.06.2014 / 09:12