Hola Ariel
El 22/09/2014 a las 13:19, Ariel Alvarez escibió:
> Hola lista tengo un problema y ya he probado varias soluciones sin
> ningun resultado, se trata sobre redireccionar el trafico que venga
> hacia una ip o interface de red espesifica por un puerto espesifico
> para otra direccion ip el mismo puerto, les esplico en concreto:
>
> todo esto esta sobre debian7.1
>
> tengo dos servidores de correo uno funciona como correo relay el cual
> no contiene ningun buzon de usuarios y se encuentra en un servidor que
> tiene dos interfaces de red una de cara a la wan y otra de cara a la lan:
>
> ej:
>
> 10.0.0.10 ip de cara a la wan y soportada en eth0
>
> 192.168.0.3 ip de cara a la lan y esta soportada en eth1
>
>
> el segundo servidor de correo el cual si tiene las cuentas o buzones
> de cada usuario solamente tiene una interface de red de cara a la lan:
>
> ej:
>
> 192.168.0.2 ip de cara a la lan y esta soportada en eth0
>
>
> la idea es que mis usuarios puedan accedar a su correo desde afuera,
> es decir al poner en su navegador ej: (correo.midominio.com) abre la
> interface web y puedan loguearse a su cuenta.
>
> el asunto es que cuando acceden al correo mediante la interface web
> acceden al primer servidor el cual no contiene ninguna cuenta de
> usuario por tanto la validacion falla diciendo que el usuario o
> contraseña estan mal.
>
> se que se puede redireccionar el trafico, ya he probado las siguientes
> variantes:
>
>
> DECLARO IP FORWARD
> echo "1"> /proc/sys/net/ipv4/ip_forward
>
> ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO:
>
> DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo
> servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas
> se encuentra escuchando la interface web que da acceso a los usuarios
> a sus cuentas de correo.
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
> --to-destination 192.168.0.2:80
Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante
del -i eth0 pero eso no deberia afectar.
Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi.
iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination
192.168.0.2 -j ACCEPT
Donde permitis el forward por ese port
>
> DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su
> ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra
> escuchando la interface web que da acceso a los usuarios a sus cuentas
> de correo.
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT
> --to-destination 192.168.0.2:80
>
> DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al
> segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en
> este cas se encuentra escuchando la interface web que da acceso a los
> usuarios a sus cuentas de correo.
> iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT
> --to-destination 192.168.8.2:80
>
>
> estas son las variantes que he probado, luego enmascaro la ip:
>
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> nada de esto me funciona
>
> agradeceria cualqueir ayuda.
>
> gracias de antemano.
el Problema es posible que tendras que Natear su red wan hacia la ip de tu
server de correos , arma tu estructura de red para que no tenga problemas.
luego establece las politicas de NAT para lo que son correos electronicos y los
puertos de conexion desde fuera.
por lo que veo no tienes un levantado una DMZ seria ideal que lo hagas, pues
imagenos que pepito quiere ingresar a su correo via web , entonces al buscar el
dominio , lo que hara la DMZ es direccionar a un servidor interno desde tu LAN.
PD ,crea un script en tu firewall
saludos
WRC
Yo para hacer nat suelo usar rinetd "man rinetd". Es muy sencillo de usar y
pienso que te puede servir.
Un saludo.