Ariel, segun el correo que has enviado, tus interfaces tanto externas e
internas son las siguientes:
eth0= 10.0.0.0/24
donde 10.0.0.10 es una ip cualquiera del sergmento mencionado
eth1= 192.168.0.0/24
donde 192.168.0.2 <-- Este es tu servidor web
Teniendo en cuenta todo lo anterior, vamos a crear NAT, DNAT y SNAT.
Haremos uso de los comandos arp y route
#arp -Ds NN.NN.NN.NN eth0 pub
#route add NN.NN.NN.NN dev eth1
Donde:
eth0 es la interfaz externa (Publica / internet)
eth1 es la interfaz interna (Lan)
NN es la ip homologada del segmento 111.222.333.444/27
Ejemplo:
#Servidor de Correo/Http
arp -Ds 10.0.0.10 eth0 pub
route add 10.0.0.10 dev eth1
DNAT
#HTTP
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 10.0.0.10 --dport 80 \
-j DNAT --to-destination 192.168.0.2:80
iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT
-----------------------------------------------------------------------------------------------
Hasta aqui debera de funcionar tu DNAT
-----------------------------------------------------------------------------------------------
y el enmascaramiento (Masquerade-NAT)
iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE
Suerte ..
Saludos cordiales.
--
Lic. Domingo Varela Yahuitl.
IT/Specialist -- Linux/Unix/Win.
System Administrator and Technical Support.
Web Site: http://www.linuxsc.net
Twitter: http://www.twitter.com/linuxsc
Móvil: 044 - 2224 397162
Móvil: +521 - 2224 397162
Date: Tue, 23 Sep 2014 08:50:36 -0400
From: ar...@cncc.cult.cu
To: debian-user-spanish@lists.debian.org
Subject: Re: redireccionar ip y puertos mediante iptables
ahi van las reglas que me pides colega:
Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes)
pkts bytes target prot opt in out source
destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
192.168.0.2 tcp dpt:80
Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes)
pkts bytes target prot opt in out source
destination
ademas por webmin esto es lo que aparece cuando accedo al apartado
de iptables, no se si sirva de algo:
# Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014
*mangle
:PREROUTING ACCEPT [1:40]
:INPUT ACCEPT [1:40]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:2064]
:POSTROUTING ACCEPT [2:2064]
COMMIT
# Completed on Tue Sep 23 08:40:17 2014
# Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014
*filter
:INPUT ACCEPT [1674:689151]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1785:430942]
-A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Sep 23 08:40:17 2014
# Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014
*nat
:PREROUTING ACCEPT [24:1461]
:INPUT ACCEPT [24:1461]
:OUTPUT ACCEPT [124:7876]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination
192.168.0.2:80
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Tue Sep 23 08:40:17 2014
El 22/09/2014 17:29, Domingo Varela
Yahuitl escribió:
Puedes enviar las reglas del iptables
Iptables -n -L -v
Enviado desde mi
dispositivo android.
-----Original Message-----
From: "Andres M. Giribaldi" <andres2...@gmail.com>
To: debian-user-spanish@lists.debian.org
Sent: lun, 22 sep 2014 16:19
Subject: Re: redireccionar ip y puertos mediante iptables
Hola Ariel
El 22/09/2014 a las 13:19, Ariel Alvarez escibió:
> Hola lista tengo un problema y ya he probado varias
soluciones sin
> ningun resultado, se trata sobre redireccionar el trafico que
venga
> hacia una ip o interface de red espesifica por un puerto
espesifico
> para otra direccion ip el mismo puerto, les esplico en
concreto:
>
> todo esto esta sobre debian7.1
>
> tengo dos servidores de correo uno funciona como correo
relay el cual
> no contiene ningun buzon de usuarios y se encuentra en un
servidor que
> tiene dos interfaces de red una de cara a la wan y otra de
cara a la lan:
>
> ej:
>
> 10.0.0.10
ip de cara a la wan y soportada en eth0
>
> 192.168.0.3
ip de cara a la lan y esta soportada en eth1
>
>
> el segundo servidor de correo el cual si tiene las cuentas o
buzones
> de cada usuario solamente tiene una interface de red de cara
a la lan:
>
> ej:
>
> 192.168.0.2
ip de cara a la lan y esta soportada en eth0
>
>
> la idea es que mis usuarios puedan accedar a su correo desde
afuera,
> es decir al poner en su navegador ej: (correo.midominio.com)
abre la
> interface web y puedan loguearse a su cuenta.
>
> el asunto es que cuando acceden al correo mediante la
interface web
> acceden al primer servidor el cual no contiene ninguna cuenta
de
> usuario por tanto la validacion falla diciendo que el usuario
o
> contraseña estan mal.
>
> se que se puede redireccionar el trafico, ya he probado las
siguientes
> variantes:
>
>
> DECLARO IP FORWARD
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO:
>
> DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al
segundo
> servidor que su ip es 192.168.0.2 por el puerto 80,
donde en este cas
> se encuentra escuchando la interface web que da acceso a los
usuarios
> a sus cuentas de correo.
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
DNAT
> --to-destination 192.168.0.2:80
Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp
delante
del -i eth0 pero eso no deberia afectar.
Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo
asi.
iptables -A FORWARD -p tcp -i eth0 --destination-port 80
--destination
192.168.0.2
-j ACCEPT
Donde permitis el forward por ese port
>
> DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo
servidor que su
> ip es 192.168.0.2
por el puerto 80, donde en este cas se encuentra
> escuchando la interface web que da acceso a los usuarios a
sus cuentas
> de correo.
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT
> --to-destination 192.168.0.2:80
>
> DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por
puerto 80 al
> segundo servidor que su ip es 192.168.0.2 por el puerto 80,
donde en
> este cas se encuentra escuchando la interface web que da
acceso a los
> usuarios a sus cuentas de correo.
> iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT
> --to-destination 192.168.8.2:80
>
>
> estas son las variantes que he probado, luego enmascaro la
ip:
>
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> nada de esto me funciona
>
> agradeceria cualqueir ayuda.
>
> gracias de antemano.
>
>
Saludos
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
Archive: https://lists.debian.org/54209230.4000...@gmail.com
