crear router sin NAT con rutas estaticas e iptables vs iproute

Forums: 

hola a todos:
Escribo para consultarles sobre la creacion de un router mediante iptables sin NAT, es decir que deseo que al pasar una ip por el router, vea salir por la otra interface la IP que origino el paquete y no la IP enmascarada por el router (arruina mucho de la seguridad de redes el nateo, ya que al no destinguir las IPs de origen los logs se hacen inutiles).
Es decir un router sin
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport $PORT -s $IPMASK -j MASQUERADE

hay alternativas como iproute, o hasta vyatta. Pero quisiera saber si alguien trabaja sobre iptables cerrado como router y si esto da un mejor rendimiento que usar un producto como vyatta o como iproute.

Espero no estar planteando de modo incorrecto el problema
Muchas gracias a todos.

explicacion

quisiera agregar.. lo que quisiera saber es la lineas de IPTABLES que serian necesarias para hacer un ROUTEO estatico sin necesidad de NAT
Con definir las rutas con el route add y luego un script para iptables con el FORWARD hacia un lado y el otro de la red bastaria?

ruso

Yo creo que estás un poco

Yo creo que estás un poco confundido respecto a lo que es el NAT y para qué se lo utiliza. El ruteo y el enmascaramiento (NAT) son complementarios, no necesariamente puedes reemplazar el uno con el otro. En todo caso, para que uses solo ruteo (sin usar NAT por ningún lado) necesitas tener direcciones públicas en todos tus sistemas.

Cuando mencionas que el NAT hace que los logs no registren la dirección origen me hace pensar que estás utilizándolo erróneamente.

Sería bueno saber cuál es tu escenario (tu esquema de red), lo que deseas lograr y como lo tienes implementado actualmente.

Saludos,

----
Edwin Boza
about.me/edwinboza

hola Edwin; gracias por

hola Edwin; gracias por responder.
Mi intencion es hacer un router estatico entre dos redes locales. la funcion de un router.
Si utilizara NAT me enmascararia las IPs y de una lado de la red apareceria como origen la IP del equipo que la enmascarò. No estoy haciendo un proxy entre internet y mi red local.
Tienes experiencia en algo asi?
Vi implementaciones usando iproute, y otros productos como vyatta o mikrotik. Queria saber si puede hacerse un router solo con scripts de iptables en lugar de usar una distro cerrada para eso.

+-------------+
| red2 |
+-------------+ +
| | |
+------+-------+ +-------------+
+----------------+ | eth1 |
| | | |
| Red 1 +----+eth0 Linux |
| | | |
+----------------+ | |
+------+-------+

Desde ya muchas gracias.

ruso

En ese caso (el mismo

En ese caso (el mismo servidor es el gateway de las 2 redes) no necesitas casi nada en especial. Solo asegúrate que las PCs de la red 1 tienen como puerta de enlace (default gateway) la IP de la ETH0 de tu Linux y las PCs de la red 2 tienen como puerta de enlace (default gateway) la IP de la ETH1.

En el servidor Linux solo debes habilitar el IP_Forward:

echo 1 > /proc/sys/net/ipv4/ip_forward

No necesitas rutas adicionales ni NAT.

Saludos,

----
Edwin Boza
about.me/edwinboza

Normal que segmentarías

Imagen de damage

Normal que segmentarías broadcast, ya que son dos dominiso de colisión diferentes, pero ahí viene la otra parte cuantos hosts tienes en ambas redes, por ejemplo en la red 1 tienes 150 host y todos dentro del segmento 192.168.1.0/24, logicamente aunque separes las dos LAN fisicamente, seguiras teniendo mucho broadcast en cada LAN, en ese caso se aplica subneting y listo, pero en tu router deberas crear las rutas estaticas para que exista comunicación entre hosts o entre subredes que sean necesarias.