Saludos.
Segun entiendo lo que quieres hacer es lo siguiente: "hacer que un equipo en tu LAN sea visto en internet con un IP publico X (en la misma red que el IP de tu firewall), y que solo sea accesible el puerto 80 (http)".
Si ese es el caso un NAT 1-1 es lo que buscas. Mas informacion sobre le NAT 1-1 la encuentras en: http://www.shorewall.net/NAT.htm
La segunda alternativa que tienes y te ahorras el uso del IP, es redirigir el puerto 80 de tu fw desde Internet hacia tu servidor con un DNAT (http://www.shorewall.net/NAT.htm).
En cualquier caso para mayor transparencia y facilidad de manejo registra los IP's respectivos en tu DNS manejando una zona distintas para tu LAN y para internet (el nombre apuntado al IP interno para tu LAN, y el nombre apuntando a tu IP externo para Internet).
Nota: Si tienes una DMZ con un unico firewall (tres interfaces de red; LAN, NET, DMZ). Usa mejor proxy ARP. En tu configuracion no lo veo muy claro, aunque haces referencia a una zona DMZ y pareces tener mal los nombres de tus zonas.
Hasta la proxima.
Carlos
2010/1/4 Sergio listas-linux@cherrytel.com:
Hola a tod@s,
Os cuento mi historia a ver si alguien me puede ayudar…
Actualmente tengo un servidor para la navegación en una red local con Squid y firewall Shorewall (esto funciona de maravilla).
Ahora me surge el problema que estoy dando servicios desde Internet a servidores que tengo en mi red local. La idea es trabajar con un servidor por el puerto 80, el servidor en mi red local será una tieda virtual donde voy a montar un TPV Virtual. Este servidor quiero que sea transparente para todos los usuarios de Internet.
He probado la configuración por todas las maneras pero mi configuración del servidor Proxy lo permite (la indico a continuación).
Lo que tengo ahora es lo siguiente:
2 tarjetas de red con esta configuración:
eth1 Link encap:Ethernet HWaddr 00:13:72:4B:68:1F
inet addr:213.x.x.22 Bcast:213.x.x.255 Mask:255.255.255.0
eth2 Link encap:Ethernet HWaddr 00:13:72:4B:68:20
inet addr:192.168.100.220 Bcast:192.168.100.255 Mask:255.255.255.0
Mi configuración shorewall:
interfaces
lan eth1 detect
dmz eth2 detect
zones:
lan LAN local_area_network
dmz DMZ demilitarized_zone
wan NET internet
masq:
eth1 10.10.10.0/24
eth1 192.168.0.0/16
rules (entre otras muchas):
ACCEPT fw lan tcp 80
REDIRECT dmz 3128 tcp www -
##Servicios activo para red local
ACCEPT dmz lan tcp pop3 -
ACCEPT dmz lan tcp smtp -
ACCEPT dmz lan tcp 995 -
ACCEPT dmz lan tcp 465 -
ACCEPT dmz all tcp http -
ACCEPT dmz lan tcp https -
ACCEPT dmz lan tcp ftp -
ACCEPT dmz fw tcp ftp -
ACCEPT dmz lan tcp ftp-data -
ACCEPT dmz fw tcp ftp-data -
ACCEPT dmz lan tcp nntp -
ACCEPT dmz lan tcp imap -
Mi idea era crear un interfaz virtual con otra IP pública que pueda usar el puerto 80 para atacar a un servidor Web que tengo en mi red local.
Los pasos de configuración lo estoy realizando con este manual:
http://www.shorewall.net/Shorewall_and_Aliased_Interfaces.html
Crear el interfaz virtual:
up ip addr add 213.x.x.23/24 brd 213.x.x.255 dev eth1 label eth1:1 (esto funciona correctamente).
Mi servidor Web local es el siguiente: 192.168.1.1
Seria esto…
eth1:1 192.168.1.1 213.x.x.23
Es posible que exista otra forma de hacer lo que quiero, si alguien me puede asesorar se lo agradecería.
Desde ya gracias por todo.
Saludos.
__________ Información de ESET Smart Security, versión de la base de firmas de virus 4544 (20091026) __________
ESET Smart Security ha comprobado este mensaje.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es