On Monday 06 August 2012 23:13:57 El Ale... wrote: > Gente buenas tardes con el topic de ayer pude hacer pruebas con iptables, > se que me recomendaron openvpn pero debo hacerlo a esto en un servidor que > esta en produccion y no me dejan instalarle cosas (una cuestion de la pyme > esta)... aunque consulte no me dieron el ok y debo atender esta maquina > dentro del lan con urgencia. les recuerdo yo tenia el siguiente esquema: > > router: IP FIJA WAN 120.200.200.20 con un DMZ a la ip 192.168.0.100 > I > I > I > I > I > PC con dos placa de red > 1 "eth0": 192.168.0.100/255.255.255.0 (es la ip que esta dentro del rango > del router) > 2 "eth2": 10.104.0.20/255.0.0.0 (es la ip que pertenece a la red donde > quiero entrar) > I > I > I > I > I > PC apache > "eth0": 10.104.0.10:8081 > es la pc donde tiene el apache donde quiero conectar > > iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.100 --dport 8081 > -j DNAT --to 10.104.0.10:8081 > > pero no lo consigo, la verdad pido mil disculpas ya que soy muy malo con > iptables y por insistir, es que en internet no encuentro algun ejemplo que > me pueda ayudar y esto fue lo que pude construir con los tutoriales pero no > me basto. tengo activado el loop pero sigue igual. Según como tengas el firewall iptables, deberás poner unas u otras reglas. Seguramente te falta la regla para aceptar esos paquetes, si es que hay una que por defecto bloquee todo lo que no conoce (probablemente la haya). Por la línia que pones, para aceptar esos paquetes faltaria añadir: iptables -A FORWARD -p 8081 -i eth0 -d 10.104.0.10 --dport 8081 -o eth1 -j ACCEPT Apache debe estar escuchando el puerto 8081 (por defecto no es este), y desde fuera debes conectar también al puerto 8081 Poiendo nombre a las variables, las dos reglas quedarian: iptables -t nat -A PREROUTING -p $protocolo -i $eth_externa -d $ip_externa -- dport $puerto_externo -j DNAT --to $ip_interna:$puerto_externo iptables -A FORWARD -p $protocolo -i $eth_externa -d $ip_interna --dport $puerto_interno -o $eth_interna -j ACCEPT Donde: $protocolo=tcp $eth_externa=eth0 $ip_externa=192.168.0.100 $puerto_externo=8081 $ip_interna=10.104.0.10 $puerto_externo=8081 El parámetro de las ethernets quizas puedas omitirlo, pero no está de más, no fuera que alguien hiciera cosas raras enviando paquetes con IPs de la otra red. Y el puerto al que se accede externamente no tiene por que ser el mismo que para acceder internamente. > Mil gracias Suerte -- Marc Olivé Blau Advisors www.blauadvisors.com
Attachment:
signature.asc
Description: This is a digitally signed message part.