El 30/01/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Esto es un mensaje de Maxwell Draven, que por algún motivo parece que no puede enviar a la lista y me ha pedido que se lo envíe yo.
- ---------- Forwarded message ----------
Tengo el siguiente problemilla: Tengo un cortafuegos con una direccion IP publica y unos servidores (FTP, Correo, Web, etc) con direcciones IP privadas ... quiero que cuando alguien busque algun puerto/servicio desde la Internet, el servidor "interno" (segun sea) responda la peticion .
Para ello (siguiendo manuales e instrucciones sobre iptables) tengo lo siguiente:
iptables - t nat -A PREROUTING -d IP_PUBLICA -j DNAT -- to IP_PRIVADA
malo....estas direccionando TODO el trafico que venga a vuestra IP_PUBLICA a un servidor con IP_PRIVADA. personalmente, haria el direcionamento solamente de los puertos que necesito, asi aumenta un poco la seguridad.. ;-D por ejemplo: #iptables -A FORWARD -p tcp -d IP_PRIVADA --dport 80 -j ACCEPT #iptables - t nat -A PREROUTING -d IP_PUBLICA -p tcp --dport 80 -j DNAT -- to-destination IP_PRIVADA el primero, habilita el paso de datos entre las distintas redes.. el segundo hace el redirecionamento en si de todos los datos que vengan a la IP-PUBLICA "y solamente" a la puerta 80 para el servidor interno. y para cada uno de los servicios, repetir la misma linea, cambiando el puerto/protocolo y direcciones IPs equivalentes.
iptables - t nat -A POSTROUTING -s IP_PRIVADA -j SNAT -- to IP_PRIVADA
malo .. estas haciendo que los paquetes que esten salindo de vuestra red, se enmascaren com la IP_PRIVADA !!! deberias de cambiar, para: #iptables - t nat -A POSTROUTING -s IP_PRIVADA -j SNAT -- to IP_PUBLICA
Luego:
iptables -A FORWARD -d IP_PRIVADA
Esto es lo que he dejado despues de muchos quita/pone de eth0 y eth1 que he hecho sin comprender bien su papel. Por cierto, eth0 es la que da el acceso a la Internet y eth1 tiene una IP interna
revisa un correo mio de hace unos 2 dias, mas o menos.. alla tiene varios enlaces para documentacion sobre iptables... los comandos que doy arriba no son ni de lejos recomendables, se no tomas otras medidas para configurar correctamente el servidor!!!
Es el tercer dia que intento que esto me salga, en vista que no me ha funcionado, recurro a sus conocimientos.
en principio todo es complicado, pero despues de entender su funcionamento, se tornar trivial.
Quedo atento a sus respuestas/comentarios/sugerencias.
RTFM. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399