Imagine que temos um servidor com três interfaces de rede, uma para conectividade ssh e as outras duas interfaces estão conectadas ao lado da LAN de dois roteadores domésticos comuns. Como resultado, uma interface possui um endereço 192.168.1.3 e o outro 192.168.1.2. Não queremos alterar o endereço padrão do roteador e, como resultado, o endereço GW é o mesmo 192.168.1.1.
É possível portar para a frente para a porta 22 do roteador doméstico interno a partir do exterior? Por exemplo, a porta 5555 em direção ao primeiro roteador e a porta 5556 em direção ao segundo roteador.
Isso foi o que eu fiz até agora:
cadeia PREROUTING - tabela mangle - pacotes de entrada com dstport 5555 - marcando com 1
cadeia PREROUTING - tabela mangle - pacotes de entrada com dstport 5556 - marcação com 2
roteamento de políticas, que funciona bem, pacotes marcados com 1, roteamento para a primeira interface, pacotes marcados com 2, para a segunda interface.
Encaminhamento de IP ativado
PREROUTING chain - nat table - pacotes com dstport 5555 - em direção ao destino 192.168.1.1:22
O roteamento parece funcionar bem, pois dependendo da porta, a interface correta é selecionada (verificada pelo tcpdump).
O problema parece ser com o tráfego de retorno (tabela NAT, eu acho), já que apenas o primeiro encaminhamento de porta está funcionando.
Claro, eu poderia mudar a sub-rede do roteador (diferentes sub-redes por roteador) e resolver o problema, mas eu queria saber se essa topologia é possível (talvez usando namespaces ou outra coisa).
Muito obrigado C.
Tags iptables