Inicio » Blog » Como redireccionar el trafico a una nueva IP con IPtables

10
abr
2009

Como redireccionar el trafico a una nueva IP con IPtables

  • Sigue a Vensign en Twitter
  • Digg Esto!
  • Compartelo en Facebook
  • Compartelo en Buzz
Visto 12.392 veces | 5 Comentarios | Imprimir Imprimir
Muchas veces nos pasa que cuando migramos un servidor o una aplicación a un nuevo servidor cambia la dirección IP y ya sea porque nuestros servidores DNS aún apuntan a la vieja dirección o nuestros clientes no han actualizado la IP en sus PC todavía apuntan al viejo servidor. En este tutorial vamos a ver en 3 pasos sencillos como redireccionar el tráfico de nuestra red a una nueva IP utilizando IPtables con las reglas de NAT. Les recuerdo que para ejecutar estos comandos necesitan tener privilegios de administrador (root). En caso que utilices Ubuntu debes colocar sudo al principio de cada comando. Voy a suponer que no tienes echa ninguna regla en la tabla nat que afecte el PREROUTING o el POSTROUTING. Vamos a comenzar

1. Habilitar el IP Forwarding

El IP Forwarding sirve para darle capacidad de Router a nuestro servidor es decir que pueda recibir y reenviar los paquetes por una o varias interfaces, ya sea que realice una transformación de dichos paquetes o no. Para esto solo tenemos que ejecutar el siguiente comando: 
echo "1" > /proc/sys/net/ipv4/ip_forward
También podemos ejecutar: 
sysctl net.ipv4.ip_forward=1
Luego de esto tenemos que reniciar nuestro servicio de red ejecutando: 
/etc/init.d/networking restart
Nota: En algunas distribuciones es network y no networking También puedes ejecutar en algunas distribuciones como Fedora, CentOS, RedHat: 
service network restart

2. Crear reglas en IPtables

Voy a suponer que la dirección IP del servidor viejo es 5.5.5.5 y la queremos redireccionar a la IP nueva 7.7.7.7 con el puerto 9999. 
iptables -t nat -A PREROUTING -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999
Esta primera regla redirecciona todo lo que entre por el puerto TCP 9999 a la dirección 7.7.7.7 puerto 9999 esta es una regla de PREROUTING que afecta a la tabla nat (-t nat) de IPtables. Si quisieras redireccionarlo a un puerto diferente solo tienes que cambiar 7.7.7.7:#puerto al que quieras, también tienes que estár pendiente si el puerto es tcp o udp. La segunda regla es para enmascarar la dirección IP, de modo que el servidor nuevo va a ver como si todas las peticiones vienen de la IP 5.5.5.5: 
iptables -t nat -A POSTROUTING -j MASQUERADE

3. Listo

Ya puedes probar que tus reglas están funcionando, con una PC que apunte al viejo servidor prueba que te responde el nuevo servidor, puedes hacer un tracert. Tambien puedes hacer un tcpdump en el nuevo servidor y ver que todas las peticiones están llegando del viejo servidor.

Otras opciones

Puedes modificar la regla de PREROUTING para otros casos por ejemplo: Redireccionar el tráfico que viene de una IP específica: 
iptables -t nat -A PREROUTING -s 10.1.1.15 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999
Redireccionar el tráfico de un segmento de red: 
iptables -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999
Redireccionar el tráfico que llegue por una interfaz específica: 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999
Y cualquier mezcla de los anteriores para más información puedes ver las páginas man de iptables: 
man iptables
O ver este tutorial de IPtables muy completo en inglés. Este tutorial está basado en el tutorial How-To: Redirecting network traffic to a new IP using IPtables que está hecho por chantra, con algunas mejoras y cambios. Espero que les sirva cualquier duda o comentario no duden en escribir Saludos Olivers Si quieres recibir notificaciones de cuando se publican nuevos artículos y tutoriales en Vensign por favor subscribete a nuestro boletín RSS.

Otros artículos que te pueden interesar

  1. Como cambiar y recuperar la clave en un servidor MySQL En este mini tutorial les voy a explicar como pueden...
  2. Como configurar un Host Virtual en Apache basado en Nombre En este tutorial vamos a ver como configurar un Host...
  3. Como instalar WebDav en Ubuntu paso a paso En este paso a paso aprenderemos como instalar WebDav en...
  4. Instalar y configurar OpenSIPS 1.4.3 Actualización: Se actualizó este tutorial a la versión 1.4.3 que...
  5. Como instalar un Servidor DHCP en Ubuntu   Un servidor DHCP asigna dinámicamente direcciones IP a las...

Creative Commons License
Este trabajo está licenciado bajo Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License

Comparte este Artículo!

  • Sigue a Vensign en Twitter
  • Digg Esto!
  • Compartelo en Facebook
  • Compartelo en Buzz

Subscribe without commenting

5 Comentarios

  1. Dario says:
    10 junio 2009 a las 0:24

    Como redirecciono el trafico entre dos redes con rango ip diferente con iptables para que puedan tener comunicacion entre las dos?

    DIAGRAMA ASI:

    cliente1Linux Iptables1Linux Iptables2cliente2

    que se puedan ver los dos clientes entre si

    Responder
  2. Arturo says:
    14 abril 2010 a las 6:56

    Perfectisimo, me has salvado^^
    muchas gracias y un saludo

    Responder
  3. nikolocalhost says:
    17 septiembre 2010 a las 19:07

    Saludos, es una buena informacion, gracias, quisiera preguntar si me puede ser util en el siguiente caso:

    Tengo un servidor web con php en el mismo servidor que la base de datos MySQL y ahora, por seguridad, quisiera mover el servidor MySQL a otro servidor fisico con una IP diferente, sin embargo, todas las aplicaciones, al hacer conexion a la BD lo hacen a traves de “localhost” o “127.0.0.1″.

    Con iptables puedo redireccionar los querys que se hacen a localhost hacia el otro servidor fisico?? es decir cuando una aplicacion web se conecte a localhost de MySQL en realidad me responda el otro servidor??

    Quizas puediera parecer mas sencillo hacer que las aplicaciones se conecten a la ip del nuevo servidor, pero hay una gran cantidad de aplicaciones y la mayoria de ellas no tienen sus conexiones estandarizadas y algunas se conectan en cada script. Muchas de esas aplicaciones fueron desarrolladas por personas que ya no estan laborando aca y no hay docuementacion de las mismas. De modo que la opcion mas transparente me parece que es redireccionar las peticiones de “localhost” o “127.0.0.1″ hacia la ip del nuevo servidor.

    Gracias por su atencion.

    Responder
    • Olivers (Autor) says:
      17 septiembre 2010 a las 20:47

      Hola Niko, gracias por tu comentario en cuanto a tu duda

      Lo más sano sería cambiar la dirección en las aplicaciones porque puedes llegar a tener problemas por esto.

      Mas que redireccionar la IP es mejor que redirecciones el puerto, ya que si redireccionas 127.0.0.1 puedes ocasionar que muchas cosas dejen de funcionar.

      El puerto por defecto de MySQL es 3306 por lo que la regla sería algo como (ojo no la he probado tienes que probar que te funciona):

      iptables -t nat -A OUTPUT -p tcp –dport 3306 -j DNAT –to 192.168.1.X

      Colocando en 192.168.1.X la dirección IP de el servidor donde esté MySQL

      Recuerda habilitar MySQL para que acepte conexiones remotas y tambien verificar que las contraseñas sean iguales a las que tenias en tu otro servidor o igualmente tendrás que cambiar usuarios y contraseñas en las aplicaciones.

      Te aconsejo tener esto como una solución temporal y poco a poco ir actualizando tus aplicaciones.

      Avísanos si te funcionó y si quieres puedes registrarte en nuestro boletín de noticias en el cuadro amarillo a la derecha

      Saludos
      Olivers

Deja tu comentario, duda o sugerencia

Agrega tu comentario, o trackback desde tu sitio web. Tambien puedes Registrarte o ingresar en Vensign para obtener mucho más (volveras a esta página luego de registrarte)

Puedes utilizar el siguiente código HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Este blog soporta Gravatares. Para obtener tu avatar, por favor registrate en Gravatar.

45 queries. 0,666 seconds.