OK es mas facil... desde tu server de correo modifica el script que te anexo con la(s) ip(s) que quieres que solo tengan acceso al server de correo de tu wan, este script debera de estar en tu server de correo (valga la redundancia)
Cambiar la(s) ip(s) 111.222.333.444 del cliente que quieras que accese al server de correo, estas lineas estan en el script ---------------- iptables -A INPUT -s 111.222.333.44 -j ACCEPT iptables -A INPUT -s 11.22.33.0/24 -j ACCEPT iptables -A INPUT -s 1.2.3.4 -j ACCEPT ---------------------------- #!/bin/sh # Firewall.sh - Firewall configurable para WS o Server. Host por host # (c) Linux Solutions Center # Probe: True # Date: 29-Ago-07 echo " " echo " Aplicando reglas de Firewall ..." echo " " ## Firewall minimo para WS - Servers ## iptables -P FORWARD DROP iptables -P INPUT DROP iptables --flush iptables -A INPUT -i lo --source 127.0.0.1 --destination 127.0.0.1 -j ACCEPT # Entrada al servidor desde determinados hosts # Funciona como un TCP-Wrappers iptables -A INPUT -s 111.222.333.444 -j ACCEPT iptables -A INPUT -s 11.22.33.0/24 -j ACCEPT iptables -A INPUT -s 1.2.3.4 -j ACCEPT # #Aceptamos pings # iptables -A INPUT -m state --state "ESTABLISHED,RELATED" -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT # Servicios que corren en el servidor # #iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p tcp --dport smtp -j ACCEPT iptables -A INPUT -p tcp --dport http -j ACCEPT iptables -A INPUT -p tcp --dport https -j ACCEPT iptables -A INPUT -p tcp --dport domain -j ACCEPT iptables -A INPUT -p udp --dport domain -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport imap -j ACCEPT # # Cerramos el rango de los puertos privilegiados. Cuidado con este tipo de # barreras, antes hay que abrir a los que si tienen acceso. iptables -A INPUT -p tcp --dport 1:1024 -j DROP iptables -A INPUT -p udp --dport 1:1024 -j DROP # Salvamos los logs del Firewall. iptables -A INPUT -j LOG -m limit --limit 40/minute iptables -A INPUT -j DROP # Savamos las politicas iptables-save > /etc/sysconfig/iptables echo ": Done." echo "" # # Fin del script # On Tue, 2009-05-26 at 11:23 +0000, Yoandy Melero wrote: > Ok eso está muy bien pero no quiero que todos mis clientes se conecten al > server de correo de mi red wan. > > Cuando hago lo que me comentas cualquier usuario de mi red lan se me > conecta para afuera y ese no es el objetivo. > > Para eso tengo un server con proxy y correo. > El objetivo de que este usuario se conecte a este server en la red wan es > porque es un usuario que recibe mucha información de diferentes lugares > (directores de escuelas. Minesterio de educacion, etc)... > > Seria mas logico hacerle una cuenta a esa persona en mi server pero hay > que adaptar cada una de todas esas personas a usar esa nueva direccion. Y > eso seria trabajo posiblemente de meses y podria traer como consigo > perdida de valiosa informacion... > > Lo que deceo lograr es que ese cliente(LAN) se conecte por el puerto x, y, > z. a la direccion 192.168.159.xxx.(WAN). > > Solamente eso. > saludos > YO.. > > > > ------------------------------------------------------------------------ > Pues ya lo tienes hecho, solo tienes que enmascarar tu LAN con la la ip > de tu tarjeta externa de tu debian que va conectada a tu wan ie. > > > eth1 eth0 > LAN (192.168.0.0/24) -- (debian) -- WAN (172.17.0.2) -- server de email > 172.17.0.x > > /sbin/iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE > echo 1 > /proc/sys/net/ipv4/ip_forward > > y listo ... con tu cliente tiene acceso no solo a internet si no al > servidor de email que tienes en tu wan > esto es segun lo que comentas en el correo > > > On Tue, 2009-05-26 at 10:31 +0000, Yoandy Melero wrote: > > > Amigos listeros, tengo un server con lenny. Este server tiene dos > > interfaces de red. Una apunta para la wan y otra para la red local... > > > > Ahora bien tengo un cliente en mi red local que se tiene que conectar a un > > server de correo que esta en mi red wan. > > > > Antes cuando usaba debian etch usaba firestarter para ello. Pero lo que > > trato es no usar nada grafico. > > > > No tengo internet y en la redes cubanas ahi poco sobre ello. > > > > Tengo entendido que lo que hay que ser con iptables es redireccionamiento > > y no enmascaramiento. > > > > Mis redes son: > > 192.168.0.50 ---- local > > 172.17.0.2 -------wan > > > > el cliente es 192.168.0.46 y el server de correo a donde debe conectarse > > es a 192.168.159.118 (este server esta en la wan). > > > > me imagino que el redireccionamiento sea en los puertos 25, 110 y 143 > > > > > > Gracias de antemano y en espera de respuesta.... > > > > > > saludos > > yo... > > > > > > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l > -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. More Information in (http://www.linuxsc.net) Linux Solutions Center IT Specialist System Administrator and Technical Suport Unix/Linux/Windows _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
