El 1/02/06, Maxwell Draven<correo.cuervo@gmail.com> escribió:
Hola Victor:
El 31/01/06, Victor Hugo dos Santos escribió:
envie para aqui exactamente (TODO) lo que estas haciendo !!!
A peticion del respetable y apreciado publico :
Esto va asi: tengo 4 servidores con IP Privada, tipo A (10.0.0.0), detras de un cortafuegos que tiene 2 tarjetas de red, una de las cuales va a Internet (eth0) y la otra, tiene contacto con los servidores enunciados (eth1).
Lo que quiero hacer, es que cuando alguien haga una peticion a una direccion de Internet (200.x.x.x) asignada por el ISP, dicha peticion sea reenviada por el cortafuegos al servidor interno que corresponda (10.x.x.x) y la peticion obtenga respuesta.
hasta aca, ok.. no hay problema !!!
Lo mismo que, cuando alguna peticion salga de alguno de los servidores internos hacia la Internet, no se vea la IP del servidor interno (10.x.x.x),
imposible !!!! al menos en los routers bien configurados, deberian de ser bloqueados el ruteo para estas direcciones !!!
ni tampoco la del cortafuegos, sino la IP Publica (200.x.x.x) que tiene correspondencia con la IP Privada (Segun lo explicado en el parrafo anterior).
Esto es lo que he puesto en etc/rc.d/boot.local
malo lugar para ingresar cualquer cosa !!! para estos estan los scripts de arranque /etc/rc.d/* y de una mirada en como poder hacer el tuyo mismo , o copiar la estructura de uno !!! pero, acredito que el mas facil en estes casos es utilizar las herramentas iptables-save y iptables-restore para guadar/aplicar las reglas del cortafuegos y para activarlas/desactivarlas se puede utilizar las variables UP/DOWN en las configuraciones de las tarjetas de redes /etc/sysconfig/ifcfg-MAC-DE-LA-TARJETA !!!!
iptables -t nat -A PREROUTING -d IP_PUBLICA -i eth0 -j DNAT --to IP_PRIVADA
ok... aca, envias TODO que venga a la IP_PUBLICA para un unico SERVER interno.
iptables -t nat -A PREROUTING -s IP_PRIVADA -o eth0 -j SNAT --to IP_PUBLICA
aca esta malo ... deberia de ser POSTROUTING !!!
iptables -A FORWARD -i eth0 -o eth1 -d IP_PRIVADA -m state --state NEW -j ACCEPT iptables -A FORWARD -t filter -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -t filter -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT
esto esta sobrando ... como te mencione antes, el que haces de redirigir TODO el trafico de la IP_PUBLICA para el servidor de la IP_PRIVADA, IMHO, es una gran estupidez... y de nada adelantas agregar estas reglas aca, para filtrar trafico !!!! se realmente deseas continuar con lo que haces de la manera que haces, simplesmente deja el forward con su politica por defecto en ACCEPT ... por cierto, en parte alguna, vi que habilitaste el el "forward" en el "super firewall".. debes de habilitarlo: sysctl -w net.ipv4.ip_forward=1 o editando directamente el archivo /etc/sysctl.conf.
Quedo a la espera de sus indicaciones / sugerencias / correcciones.
revisa lo que realmente esas haciendo !!!! hacer funcionar por funcionar no es la solucion ideal, al final vas acabar teniendo aun mas problemas !!!
Agradeciendo de antemano la atencion y la colaboracion prestadas.
suerte en vuestra aventura. -- -- Victor Hugo dos Santos Linux Counter #224399