INTERNET < - > (wan) BRIDGED_DEVICE (lan) < - > ETH_ROUTER < - > LAN
Problema:
Necessidade de acessar o servidor da web na LAN do BRIDGED_DEVICE da INTERNET através do ROUTER (o servidor da web BRIDGED_DEVICE não pode ser acessado no formulário INTERNET desde que ele não tenha um IP de gerenciamento público).
Tentativa:
Crie uma interface WAN secundária / alias em ETH_ROUTER (por exemplo, Primary: eth0.1 (para acesso à Internet) e Secondary: eth0.2 (para acessar o servidor da Web em BRIDGED_DEVICE), (sem VLANs).
Iptables em ETH_ROUTER: Adicionada uma porta em frente (DNAT) de eth0.1 para eth0.2:
iptables -t nat -I PREROUTING -i eth0.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.X.Y
iptables -t nat -I POSTROUTING -o eth0.2 -s 10.0.X.0/24 -j MASQUERADE
Firewall com estado com política de descarte geral na cadeia FORWARD, portanto:
iptables -I FORWARD -i eth0.1 -d 10.0.X.Y -p tcp --dport 80 -j ACCEPT
É possível efetuar ping de ETH_ROUTER para BRIDGED_DEVICE, mas não é possível acessar o servidor da Web pela Internet. Eu vejo o pacote cont aumentando para a regra DNAT, mas não tenho certeza onde ele desaparece no ETH_ROUTER depois disso.
ETH_ROUTER é o único dispositivo que pode ser configurado para isso.
Se você estiver familiarizado com este cenário, por favor, sugira o que eu possa estar faltando ou fazendo algo errado aqui ou sugira técnicas para depurar?
Verifique o gateway padrão no dispositivo em ponte e a regra de encaminhamento do dispositivo em ponte para a Internet também. Se você não se importa com o IP da fonte da internet, você pode adicionar uma fonte nat do roteador ao dispositivo em ponte.
Tags networking iptables linux