Hola, Estamos migrando los servidores de NT a linux. Una máquina hace de firewall y enrutado, o sea que tiene 2 tarjetas (eth0 exterior , y eth1 red interna). Se quiere redireccionar todo lo que entre des de fuera al puerto 81 a la dirección 63.23.10.98:81 (direccion del servidor de correo). Lo puedo hacer mediante iptables? utilizamos NAT con subred 63.23.10.96 255.255.255.224. A ver si alguien me puede pasar un ejemplo. Muchas gracias, D Alibés
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 23 de Agosto de 2004 11:37, daniel.alibes@isencia.com escribió:
Estamos migrando los servidores de NT a linux. Una máquina hace de firewall y enrutado, o sea que tiene 2 tarjetas (eth0 exterior , y eth1 red interna). Se quiere redireccionar todo lo que entre des de fuera al puerto 81 a la dirección 63.23.10.98:81 (direccion del servidor de correo). Lo puedo hacer mediante iptables? utilizamos NAT con subred 63.23.10.96 255.255.255.224. A ver si alguien me puede pasar un ejemplo.
* Con SuSEfirewall2 en /etc/sysconfig/SuSEfirewall2 FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="63.23.10.96" #o toda la subred, o las subredes que quieras, \ #las maquinas simples que quieras FW_SERVICES_EXT_TCP="81" FW_SERVICES_INT_TCP="81 <-- si quisieras tambien el trafico interno" FW_FORWARD_MASQ="0/0,63.23.10.96,tcp,81" #origen 0/0 = cualquiera, si quieres #solo el trafico externo pon las redes rutables en internet o incluso podria # puede valer NO lo he probado, !red_interna que querria decir todo excepto #lo definido, y es posible que tambien funcione una variable # ya definida en el fichero "$FW_DEV_EXT,63.23.etc.etc" #redirigir a una maquina enmascarada = 63.23.10.96, transporte = tcp , puerto #origen = 81, puerto destino si es el mismo = nada, si es otro = numero. * aclaraciones. Para poner un servidor de correo en un puerto (no comunmente conocido) se han de tener poderosas razones e implica redireccionar los puertos standard o perderas correo, si se trata de aplicar seguridad por ocultacion esto NO añade seguridad en absoluto y si te puede acarrear complegidad en la configuracion tanto del servidor como de los clientes, ergo propension a errores, reconfiguracion en las actualizaciones, etc. * Con iptables, esta regla es la basica debe ir en consonancia con el resto, asi como de la politica por defecto establecida, o no funcionara, eth0 seria la tarjeta externa. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT \ - --to 63.23.10.96:81 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFBKetXAXFL65CppEIRAilcAJ4pe2928sSo4BEAwoskJcCBY+RpiQCeLuvo rgx3eU2oSmbwgq5DflWixIo= =FpI+ -----END PGP SIGNATURE-----
participants (2)
-
daniel.alibes@isencia.com
-
jose maria