Linux Ping a ip nateada

whiplashh

Capo
Se incorporó
30 Marzo 2015
Mensajes
345
Me surgió una duda... es posible monitorear por ping una ip nateada dentro de un firewall que siga el siguiente modelo?
-A PREROUTING -d 172.X.X.X. -i eth1 -p icmp -j DNAT --to-destination 186.X.X.X

Desde una red externa al firewall se puede llegar por ping a la ip 172...., pero desde el mismo firewall no, se podría sin tener que aplicar rutas ni levantar una interfaz virtual?

Saludos
 

Destruktor

Drinking-Swimming Mastah
Se incorporó
23 Julio 2006
Mensajes
2.338
Ando medio lento, pero, es la pre o post nateo? El fw las hace de nat?

Y por qué desde fuera se ve una red interna?


Enviado desde mi iPad utilizando Tapatalk
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
Ando medio lento, pero, es la pre o post nateo? El fw las hace de nat?

Y por qué desde fuera se ve una red interna?


Enviado desde mi iPad utilizando Tapatalk
Se suele usar cuando hay varias ip s públicas y la principal tiene denegado el ping
Con una secundaria se redirige puertos a una ip interna, y de paso el icmp para que al hacer ping responda la interna como si fuera la pública

Enviado desde mi XT1058 mediante Tapatalk
 
Upvote 0

Destruktor

Drinking-Swimming Mastah
Se incorporó
23 Julio 2006
Mensajes
2.338
Se suele usar cuando hay varias ip s públicas y la principal tiene denegado el ping
Con una secundaria se redirige puertos a una ip interna, y de paso el icmp para que al hacer ping responda la interna como si fuera la pública

Enviado desde mi XT1058 mediante Tapatalk

Todos los días se aprende algo nuevo, gracias señor conejín.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
mmm algo como

iptables -t nat -I PREROUTING -p icmp -s ip_publica_firewall -d 172.x.x.x -j DNAT --to otra_ip_interna_firewall

??????????
Más menos
Ahí tienes que ver de donde va a provenir el ping, si desde la red interna o desde internet
Si fuera Internet, el origen ya no seria el firewall

Enviado desde mi XT1058 mediante Tapatalk
 
Upvote 0

Mr.Kind_Regards

Romántico Bohemio
Se incorporó
4 Agosto 2015
Mensajes
664
Más menos
Ahí tienes que ver de donde va a provenir el ping, si desde la red interna o desde internet
Si fuera Internet, el origen ya no seria el firewall

Ojo que el desafío está en que es el mismo FW el que tiene que pingear su propia NAT...

Desde otros lados es como dices, permitir el icmp y sería.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
El ping se genera y se recibe en el firewall

si quieres que desde el Linux haga un ping a otro equipo en la Lan con una ip diferente (que tenga en la interface de la Lan tambien), bastaria con el SNAT
no seria necesario hacer un nat si el FW ya tiene la ruta y acceso a la red interna (NAT es una traduccion de direccion, para cuando el origen no conoce la red interna y no la puede enrutar )
 
Upvote 0

whiplashh

Capo
Se incorporó
30 Marzo 2015
Mensajes
345
si quieres que desde el Linux haga un ping a otro equipo en la Lan con una ip diferente (que tenga en la interface de la Lan tambien), bastaria con el SNAT
no seria necesario hacer un nat si el FW ya tiene la ruta y acceso a la red interna (NAT es una traduccion de direccion, para cuando el origen no conoce la red interna y no la puede enrutar )

El diagrama es el siguiente tengo un medidor en una red externa al firewall (red1) con una ip pública, este medidor debe ser leído desde otra red nada (red2)q ver con un rango de ip 172.25.x.x Para que puedan ser leídos deben pasar por el firewall que toma la ip pública 186.... y la transforma en una 172.25.x.x para que la red2 que tiene ip's del rango 172.26.x.x pueda obtener la información.

Ahora bien, el drama está en que necesito verificar que la ip 172.25.x.x esté arriba mediante un ping q debo realizar desde el firewall, por ende, el ping nunca saldrá del firewall. como este no posee una ip del rango 172.25.x.x tengo que realizar todo mediante iptables, no puedo agregar rutas ni crear una interfaz virtual (lo que solucionaría de una el tema en cuestión).

Eso es lo que me tiene un tanto colgado, como poder hacer el nat del ping sin salir del firewall y sin poseer una ip del rango comentado.

saludos!
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
mm no se si me perdi, pero las posibilidades serian las siguientes en los diferentes casos
ping
fw -> ip interna = directa, no necesita nat
fw1 -> ip fw2 -> ip interna = necesita nat para traducir la direccion, y ahi el nat al protocolo icmp para que el ping no se responda por el fw2, sino que por la ip interna

siempre hay que preferir hacer ping a la ip local, ya sea en directo (red local) o nateada (desde una red externa, a la ip publica a natear), ya que ahi perderas la respuesta en caso de que la ip interna destino este inaccesible
 
Upvote 0

whiplashh

Capo
Se incorporó
30 Marzo 2015
Mensajes
345
Al final me dio paja darme tantas vueltas, y estoy monitoreando las ip's públicas con un script que verifica cuando cambian estas y modifica la regla de iptables que hace el NAT, cumple la función que debía :D y fue menos pajoso (pensando que programar en bash no lo es jejejej)
 
Upvote 0
Subir