[CentOS-es] [OT] Shorewall+Interfaces Virtual
Carlos Martinez
camarti en gmail.com
Lun Ene 4 19:36:23 UTC 2010
Saludos.
Segun entiendo lo que quieres hacer es lo siguiente: "hacer que un
equipo en tu LAN sea visto en internet con un IP publico X (en la
misma red que el IP de tu firewall), y que solo sea accesible el
puerto 80 (http)".
Si ese es el caso un NAT 1-1 es lo que buscas. Mas informacion sobre
le NAT 1-1 la encuentras en: http://www.shorewall.net/NAT.htm
La segunda alternativa que tienes y te ahorras el uso del IP, es
redirigir el puerto 80 de tu fw desde Internet hacia tu servidor con
un DNAT (http://www.shorewall.net/NAT.htm).
En cualquier caso para mayor transparencia y facilidad de manejo
registra los IP's respectivos en tu DNS manejando una zona distintas
para tu LAN y para internet (el nombre apuntado al IP interno para tu
LAN, y el nombre apuntando a tu IP externo para Internet).
Nota:
Si tienes una DMZ con un unico firewall (tres interfaces de red; LAN,
NET, DMZ). Usa mejor proxy ARP. En tu configuracion no lo veo muy
claro, aunque haces referencia a una zona DMZ y pareces tener mal los
nombres de tus zonas.
Hasta la proxima.
Carlos
2010/1/4 Sergio <listas-linux en cherrytel.com>:
> Hola a tod en s,
>
>
>
> Os cuento mi historia a ver si alguien me puede ayudar…
>
>
>
> Actualmente tengo un servidor para la navegación en una red local con Squid
> y firewall Shorewall (esto funciona de maravilla).
>
>
>
> Ahora me surge el problema que estoy dando servicios desde Internet a
> servidores que tengo en mi red local. La idea es trabajar con un servidor
> por el puerto 80, el servidor en mi red local será una tieda virtual donde
> voy a montar un TPV Virtual. Este servidor quiero que sea transparente para
> todos los usuarios de Internet.
>
>
>
> He probado la configuración por todas las maneras pero mi configuración del
> servidor Proxy lo permite (la indico a continuación).
>
>
>
> Lo que tengo ahora es lo siguiente:
>
>
>
> 2 tarjetas de red con esta configuración:
>
>
>
> eth1 Link encap:Ethernet HWaddr 00:13:72:4B:68:1F
>
> inet addr:213.x.x.22 Bcast:213.x.x.255 Mask:255.255.255.0
>
>
>
> eth2 Link encap:Ethernet HWaddr 00:13:72:4B:68:20
>
> inet addr:192.168.100.220 Bcast:192.168.100.255
> Mask:255.255.255.0
>
>
>
>
>
> Mi configuración shorewall:
>
>
>
> interfaces
>
> lan eth1 detect
>
> dmz eth2 detect
>
>
>
> zones:
>
> lan LAN local_area_network
>
> dmz DMZ demilitarized_zone
>
> wan NET internet
>
>
>
> masq:
>
> eth1 10.10.10.0/24
>
> eth1 192.168.0.0/16
>
>
>
> rules (entre otras muchas):
>
> ACCEPT fw lan tcp 80
>
> REDIRECT dmz 3128 tcp www -
>
> ##Servicios activo para red local
>
> ACCEPT dmz lan tcp pop3 -
>
> ACCEPT dmz lan tcp smtp -
>
> ACCEPT dmz lan tcp 995 -
>
> ACCEPT dmz lan tcp 465 -
>
> ACCEPT dmz all tcp http -
>
> ACCEPT dmz lan tcp https -
>
> ACCEPT dmz lan tcp ftp -
>
> ACCEPT dmz fw tcp ftp -
>
> ACCEPT dmz lan tcp ftp-data -
>
> ACCEPT dmz fw tcp ftp-data -
>
> ACCEPT dmz lan tcp nntp -
>
> ACCEPT dmz lan tcp imap -
>
>
>
>
>
> Mi idea era crear un interfaz virtual con otra IP pública que pueda usar el
> puerto 80 para atacar a un servidor Web que tengo en mi red local.
>
>
>
> Los pasos de configuración lo estoy realizando con este manual:
>
> http://www.shorewall.net/Shorewall_and_Aliased_Interfaces.html
>
>
>
> Crear el interfaz virtual:
>
> up ip addr add 213.x.x.23/24 brd 213.x.x.255 dev eth1 label eth1:1 (esto
> funciona correctamente).
>
>
>
> Mi servidor Web local es el siguiente: 192.168.1.1
>
>
>
> Seria esto…
>
> eth1:1 192.168.1.1 213.x.x.23
>
>
>
> Es posible que exista otra forma de hacer lo que quiero, si alguien me puede
> asesorar se lo agradecería.
>
>
>
> Desde ya gracias por todo.
>
> Saludos.
>
>
>
> __________ Información de ESET Smart Security, versión de la base de firmas
> de virus 4544 (20091026) __________
>
> ESET Smart Security ha comprobado este mensaje.
>
> http://www.eset.com
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
Más información sobre la lista de distribución CentOS-es