Re: Desafio....(semi largo)
El vie, 14-02-2003 a las 17:15, Duran, Mauricio escribió:
> Hola!
>
> Tengo que resolver una cuestion e hice varias pruebas con resultado
> negativo, la cuestion es la sig.
>
> Tengo 2 proveedores de internet distintos
> Por uno, que llamaremos A quiero ofrecer los servicios de mi corporacion
> (web, smtp, etc), por el otro que llamaremos I quiero que mi corporacion
> navegue por internet, instale una debian con 3 interfaces
>
> La red del ISP A es 200.45.200.0/24 y el gw es 200.45.200.1
> La red del ISP B es 200.69.100.0/24 y el gw es 200.69.100.1
>
> A I
> | |
> ---------------
> | |
> | Linux |
> | |
> | |
> ---------------
> |
> DMZ
>
> IP eth0 (ISP A) = 200.45.200.18 gw 200.45.200.1
> IP eth0:1 (ISP A) = 200.45.200.23 gw 200.45.200.1
> IP eth1 (ISP I) = 200.69.100.69 gw 200.69.100.1
> IP eth2 (DMZ) = 10.4.1.254
>
> La default gw seria la del ISP I (quiero navegar por ese proveedor, el I)
>
> En la DMZ tengo mi servidor DNS y SMTP 10.4.1.18
> Y tambien tengo otro servidor HTTPS 10.4.1.23
>
> Lo primero que hice fue habilitar el enmascaramiento de salida por eth1
> (recuerden que quiero salir a internet en forma transparente)
>
> #echo 1 >/proc/sys/net/ipv4/ip_forward
> #iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>
> Hice un portfw de que todo lo que venga a 200.45.200.18 port 25 me lo
> reenvie a 10.4.1.18 port 25
>
> #iptables -A PREROUTING -t nat -p tcp -d 200.45.200.18 --dport 25 j- DNAT
> --to 10.4.1.18:25
>
> Lo mismo para los otros servicios que brindo
>
> #iptables -A PREROUTING -t nat -p udp -d 200.45.200.18 --dport 53 j- DNAT
> --to 10.4.1.18:53
> #iptables -A PREROUTING -t nat -p tcp -d 200.45.200.23 --dport 443 j- DNAT
> --to 10.4.1.23:443
>
> No funciona......segun deduzco, los paquetes que entran por eth0 y eth0:1,
> tratan de volver por eth1 que es la default gw
> Probe de agregar el enmascaramiento por eth0
>
> #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Prueba a añdir una regle de prerouting para los paquetes que provengan
de la DMZ, algo asi como (no lo pruebo por lo que no estoy seguro)
#iptables -A PREROUTING -t nat -p tcp -d 10.4.1.18 j- DNAT --to 200.45.200.18
he omitido los puertos pues imagino que todo lo que venga de la DMZ es
lo que quieres que sea contestado por el ISP A
>
> Y tampoco funciona!
>
> Esta es la 1ra parte...pues despues compile el kernel com routing avanzado
>
>
> Hasta aquí, ven algun error, tienen idea que puede llegar a estar pasando ?
>
> Porque instale iproute2 y tampoco funciona..
>
> Bueno, la discusion esta planteada....escucho sus sabias opiniones
>
> Saludos
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: