Primero deberias hacer un croquis de como tienes tu red actualmente y como quieres que quede. La separacion de las redes eso es simple, con un iptable nato lo haces. Tienes que montar un servidor, digase Wheezy o Squeezy, la version que mas te guste. Instalarle los paquetes necesarios para iptables y configurar iptables. Mi criterio muy particular, tu lo tomas o lo dejas, yo propondria shorewall, ya que al ser orientado a ficheros, y con iptables de fondo, permite al admin de red organizar lo que quiere, tanto en politicas como en reglas.
Por otro lado, el direccionamiento IP que piensas hacer, hay que definirlo bien, ya que estas definiendo rangos que se solapan y por ende, vas a sufrir de conflictos de ip con frecuencia. Dices que los registros MX y A estan registrados en tu padre, tu empresa? Para ello te propongo que instales un servidor DNS, en la Wiki de nuestro portal encontraras abundante informacion al respecto del DNS. Lo que te restaria hacer es configural el firewall, estableciendo las politicas de navegacion, asi como los que permites la entrada y la salida. Esto por ahora. Trabaja en esos detalles y veras que todo lo que quieras hacer sale realmente facil. Suerte El 22/04/14 07:10, Danelys (Admin de Red) escribió: > Hola lista. Tengo un problema y les > agradecería alguna idea que, o me ayude a resolver el problema, o me > permita enfocarme a su solución. El problema es el siguiente: > > Quiero > montar un firewall/gateway en mi red que me separe y filtre el tráfico > entre mi LAN y la red externa y viceversa. Trabajo en una provincia y tengo > por encima a mi entidad superior la cual funciona como proxy padre, como > relay de los correos de mi dominio y como dns de nivel superior, conteniendo > > el registro MX de mi servidor de correo así como los registros A de mis > servidores web y ftp. Además a través de mi router puedo comunicarme con > las demás entidades de las restantes provincias. > Necesito ofrecer > acceso desde afuera a más de un servicio web(puerto 80), los cuales > estarán hosteados dentro de mi LAN (en una DMZ probablemente) usando > diferentes IPs. Las ips de acceso desde fuera a los servidores web serán la > > 192.168.208.5 y 192.168.208.8 > > La configuracíon quedaría así: > > > 192.168.0.0/24 (red externa) <=====> Firewall/Gateway > <=====> Servers WEB (IPs 10.0.0.5/24 y 10.0.0.8/24) > > El > Firewal/Gateway tendrá como ip en la Interfaz externa 192.168.208.2/24 que > es la red interna a la cual mi router enruta los paquetes que llegan. La ip > de la interfaz interna será 10.0.0.1/24. > > Quiero saber si es posible > lograr que se pueda acceder a estos 2 servidores web desde fuera usando sus > respectivas ips (192.168.208.x). He pensado en crear interfaces virtuales > asociadas a la interfaz externa pero aún no sé lo que sea mejor. > > > Aconséjenme por favor, pues creo que esta situación es bastante común. > > pensé en algo como esto, díganme si la idea puede ser correcta. > iptables -t nat -A > PREROUTING -p tcp -m tcp -s 192.168.0.0/16 -d 192.168.208.5 --dport 80 -j > DNAT --to-destination 10.0.0.5 iptables -t > nat -A POSTROUTING -o eth1 -p tcp -m tcp -s 192.168.0.0/16 -d 10.0.0.5 > --dport 80 -j SNAT --to-source 10.0.0.1Pensé también en hacerles un > REDIRECT a > los paquetes en dependencia del destino a puertos diferentes y poner a > escuchar los servidores web por otros puertos. Aunque esa idea no me gusta > mucho. > > Bueno, muchas gracias de antemano, y > agradecería su ayuda. > -- Ing. Pedro V. Navarrete Alejo Especialista C en Ciencias Informaticas telf/fax: (537)861-6165 ext 125 / (537)860-9647 COPMAR -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
