Estimados: Tengo un problema con iptables, les comento lo que deseo realizar, tengo un firewall en iptables el cual ha estado funcionando perfectamente con la ip asociada (200.10.10.1). ahora desean publicar un servidor web y un server de correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una para salida de internet de mi lan y la otra para salida de los server unicamente, es decir se tendria interfaces virtual o es necesario colocar una NIC adidicional a mi server? por otro lado realice la configuracion de mi iptables con interfaces virtual. pero a veces la ip que esta en la interface virtual pierde coneccion, es decir los servicios publicado no son vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida,
les adjunto parate de la conf de mi script de iptables de la publicacion de mis servicio,
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT --to-source $IP_WAN_MAIL $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT
la configuracion de mi script esta totalmente en DROP.
Saludos.
Jaime A.
Yo tengo 3 conexiones a internet balanceadas, te recomiendo mires: http://www.shorewall.net/MultiISP.html Al final instalé esta utilidad que me resulta mucho más amigable de configurar que iptables.
El 27 de mayo de 2010 00:13, Jaime Aguirre jaime.aguirre.b@gmail.comescribió:
Estimados: Tengo un problema con iptables, les comento lo que deseo realizar, tengo un firewall en iptables el cual ha estado funcionando perfectamente con la ip asociada (200.10.10.1). ahora desean publicar un servidor web y un server de correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una para salida de internet de mi lan y la otra para salida de los server unicamente, es decir se tendria interfaces virtual o es necesario colocar una NIC adidicional a mi server? por otro lado realice la configuracion de mi iptables con interfaces virtual. pero a veces la ip que esta en la interface virtual pierde coneccion, es decir los servicios publicado no son vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida,
les adjunto parate de la conf de mi script de iptables de la publicacion de mis servicio,
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT --to-source $IP_WAN_MAIL $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT
la configuracion de mi script esta totalmente en DROP.
Saludos.
Jaime A.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Estimados, de mi criterio:
1. No veo q se trate de balanceo de carga, eso es arena de otro costal 2. lo q muestra es el script para general las reglas del fw, no veo donde estan las if virtuales, y yo jamas he podido hacerlo 3. la diferencia a mi ver solo radica en como manejes tu red y el tráfico que poseas,aunque si se puede añadir podría ser más conveniente por la administración, adicional el sistema smtp debes configurarlo para q funcione con esa interfaz ya q ambas estan en la misma red 4. El manejo de servicios externos se manejaría por nateo, no debe dar temas de desconexión a menos que el ISP los tenga 5. Shorewall bien configurado y entendido es una excelente herramienta para la generación del fw
*Xavier Mauricio Tirado L.* Unidad de Infraestructura DIRECCION TECNOLOGICA *MINISTERIO DEL AMBIENTE* email: xtirado@ambiente.gov.ec Telefax: (593 2) 2563487 *www.ambiente.gov.ec*
victor santana escribió:
Yo tengo 3 conexiones a internet balanceadas, te recomiendo mires: http://www.shorewall.net/MultiISP.html Al final instalé esta utilidad que me resulta mucho más amigable de configurar que iptables.
El 27 de mayo de 2010 00:13, Jaime Aguirre <jaime.aguirre.b@gmail.com mailto:jaime.aguirre.b@gmail.com> escribió:
Estimados: Tengo un problema con iptables, les comento lo que deseo realizar, tengo un firewall en iptables el cual ha estado funcionando perfectamente con la ip asociada (200.10.10.1). ahora desean publicar un servidor web y un server de correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una para salida de internet de mi lan y la otra para salida de los server unicamente, es decir se tendria interfaces virtual o es necesario colocar una NIC adidicional a mi server? por otro lado realice la configuracion de mi iptables con interfaces virtual. pero a veces la ip que esta en la interface virtual pierde coneccion, es decir los servicios publicado no son vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida, les adjunto parate de la conf de mi script de iptables de la publicacion de mis servicio, $IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT --to-source $IP_WAN_MAIL $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT la configuracion de mi script esta totalmente en DROP. Saludos. Jaime A. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org <mailto:CentOS-es@centos.org> http://lists.centos.org/mailman/listinfo/centos-es--
REPARACIONONLINE GARANTIA PARA SU PC
NOTA DE DESCARGO: La información contenida en este e-mail es confidencial y solo puede ser utilizada por su destinatario. El Ministerio del Ambiente - Ecuador no asume responsabilidad sobre informacion y opiniones o criterios contenidos en este e-mail.
DISCLAIMER NOTICE: The information contained upon this e-mail is intended to be confidential and it can only be used by the designated recipient(s). Ministerio de Ambiente - Ecuador does not assume responsability about information and opinion or criteria contained in this e-mail. ________________________________________________________________________
MENSAJE AMBIENTAL: Si vas a imprimir el presente correo? Piensa bien si es preciso hacerlo. Cuidemos el Ambiente que es responsabilidad de todos! - Ministerio del Ambiente
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
__________________________________________________________________________ NOTA DE DESCARGO: La informacio contenida en este e-mail es confidencial y solo puede ser utilizada por su destinatario. El Ministerio de Ambiente - Ecuador no asume responsabilidad sobre informacio y opiniones o criterios contenidos en este e-mail. _________________________________________________________________________
MENSAJE AMBIENTAL: Si vas a imprimir el presente correo, piensa bien si es preciso hacerlo !Cuidemos el Ambiente que es responsabilidad de todos! - Ministerio del Ambiente
(txt)
-
Jaime Aguirre -
victor santana -
Xavier Mauricio Tirado