Muchas veces nos pasa que cuando migramos un servidor o una aplicación a un nuevo servidor cambia la dirección IP y ya sea porque nuestros servidores DNS aún apuntan a la vieja dirección o nuestros clientes no han actualizado la IP en sus PC todavía apuntan al viejo servidor. En este tutorial vamos a ver en 3 pasos sencillos como redireccionar el tráfico de nuestra red a una nueva IP utilizando IPtables con las reglas de NAT. Les recuerdo que para ejecutar estos comandos necesitan tener privilegios de administrador (root). En caso que utilices Ubuntu debes colocar sudo al principio de cada comando. Voy a suponer que no tienes echa ninguna regla en la tabla nat que afecte el PREROUTING o el POSTROUTING. Vamos a comenzar

1. Habilitar el IP Forwarding

El IP Forwarding sirve para darle capacidad de Router a nuestro servidor es decir que pueda recibir y reenviar los paquetes por una o varias interfaces, ya sea que realice una transformación de dichos paquetes o no. Para esto solo tenemos que ejecutar el siguiente comando:

echo "1" > /proc/sys/net/ipv4/ip_forward

También podemos ejecutar:

sysctl net.ipv4.ip_forward=1

Luego de esto tenemos que reniciar nuestro servicio de red ejecutando:

/etc/init.d/networking restart

Nota: En algunas distribuciones es network y no networking También puedes ejecutar en algunas distribuciones como Fedora, CentOS, RedHat:

service network restart

2. Crear reglas en IPtables

Voy a suponer que la dirección IP del servidor viejo es 5.5.5.5 y la queremos redireccionar a la IP nueva 7.7.7.7 con el puerto 9999.

iptables -t nat -A PREROUTING -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999

Esta primera regla redirecciona todo lo que entre por el puerto TCP 9999 a la dirección 7.7.7.7 puerto 9999 esta es una regla de PREROUTING que afecta a la tabla nat (-t nat) de IPtables. Si quisieras redireccionarlo a un puerto diferente solo tienes que cambiar 7.7.7.7:#puerto al que quieras, también tienes que estár pendiente si el puerto es tcp o udp. La segunda regla es para enmascarar la dirección IP, de modo que el servidor nuevo va a ver como si todas las peticiones vienen de la IP 5.5.5.5:

iptables -t nat -A POSTROUTING -j MASQUERADE

3. Listo

Ya puedes probar que tus reglas están funcionando, con una PC que apunte al viejo servidor prueba que te responde el nuevo servidor, puedes hacer un tracert. Tambien puedes hacer un tcpdump en el nuevo servidor y ver que todas las peticiones están llegando del viejo servidor.

Otras opciones

Puedes modificar la regla de PREROUTING para otros casos por ejemplo: Redireccionar el tráfico que viene de una IP específica:

iptables -t nat -A PREROUTING -s 10.1.1.15 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999

Redireccionar el tráfico de un segmento de red:

iptables -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999

Redireccionar el tráfico que llegue por una interfaz específica:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9999 -j DNAT --to-destination 7.7.7.7:9999

Y cualquier mezcla de los anteriores para más información puedes ver las páginas man de iptables:

man iptables

O ver este tutorial de IPtables muy completo en inglés. Este tutorial está basado en el tutorial How-To: Redirecting network traffic to a new IP using IPtables que está hecho por chantra, con algunas mejoras y cambios. Espero que les sirva cualquier duda o comentario no duden en escribir Saludos Olivers Si quieres recibir notificaciones de cuando se publican nuevos artículos y tutoriales en Vensign por favor subscribete a nuestro boletín RSS.

Este trabajo está licenciado bajo Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License