El 1/02/06, jose maria
El Miércoles, 1 de Febrero de 2006 20:05, Maxwell Draven escribió:
# +-----------------+ # | INTERNET | # +-----------------+ # | # | # +----------------+ # | ROUTER | # +----------------+ # | # | # | # |Eth0 # +----------------------+ # | FIREWALL | # | Eth0 200.x x.1 | # | Eth1 10.x.x.1 | +_____________+ # | # |Eth1 # |
* A partir de aqui este esquema no lo veo claro, ni entiendo la utilidad, el pool de ip's publicas (ya tienen una pata en internet) no se necesita ni nat ni gaitas para ser alcanzables forward ruta directa) deberian estar pegadas "al menos" a un switch junto con eth0 del firewall, aguas arriba del firewall y detras del router, o en una DMZ.
acredito que en el esquema de Maxwell, el router que el mencionas simplesmente entrega direcciones externas 200.200.200.X (por aca hay mucho de esto) y lo que el "tiene deseos" de hacer es la DMZ que vosotros mencionaste !!! separandola de la Internet por el firewall.
Estas ips alcanzables por el usuario desde fuera (vista externa en el dns) redirigirian la peticion a su correspondiente interna (no veo por que pero en fin, todo el pool puede estar en una maquina, forward_masq), a partir de aqui las peticiones internas (con vista interna) serian servidas por las internas.
* En el firewall cuando ip interna 10.x.x.2 quiere enviar un correo (origen, cuyo destino sea cualquier direccion, puerto 25) el firewall lo enruta/dirige a 200.x.x.2 donde nat en esa maquina le dara salida con su ip o el servidor de correo a la escucha o un proxy smtp, vamos toda una odisea.
hombre.. que ahora tu me enrollaste las neuronas !!! en teoria, lo que el desea hacer es simplesmente: envian un correo (porta 25) a "alguna" de sus direcciones externas (200.200.200.4) y el firewall de el, que tendras 6 direcciones IPs externas (200.200.200.2 hasta 200.200.200.7) y una internet (10.0.0.1), renviara el paquete al servidor de correos que esta siendo ejecutado en la IP 10.0.0.4 y en la puerta 25. #sysctl -w net.ipv4.ip_forward=1 #iptables -A FORWARD -i eth0 -d 10.0.0.4 -p tcp --dport 25 -j ACCEPT #iptables -t nat -A PREROUTING -d 200.200.200.4 -i eth0 -p tcp --dport 25 -j DNAT --to 10.0.0.4 estas deberian de ser las reglas necesarias para que esto funcionara, logicamente. existen otras mas, se deseas algo funcional/seguro.
* No se que hacen ip's publicas dentro de rangos privados.
no estan !!! al menos no las veo!! :-) salu2. -- -- Victor Hugo dos Santos Linux Counter #224399