Re: siguen mis dudas con iptables..

["Fernando M. Maresca" <f_maresca@ciudad.com.ar>]

On Thu, Nov 13, 2003 at 10:44:05AM +0100, Laur@. wrote:
> gracias Fernando, lo he probado y no me funciona, desde dentro de mi red
> entro por VNC sin problema, le pongo 10.0.0.20:5910 y no me da problemas,     
> pero cuando intenta acceder alguien desde fuera con VNC a la
> 213.98.135.101:5910, no responde, y es la ip publica de la 10.0.0.20

Me confundí con tu explicación y tanta ip address; par alo siguiente
asumo que hay una máq. en la red interna con ip 10.0.0.20 que tiene que
recibir las conexiones desde un fw cuya ip externa es 213.98.101 , sobre
el port 5910.

Primero, en el fw debe haber una regla que redirija los paquetes a la
10.0.0.20:
#iptables -t nat -A PREROUTING -d 213.98.135.101 -p tcp --destination-port 5910 -j DNAT --to 10.0.0.20
esto hace que los paquetes que van a la ip externa del fw en el port
5910 sean redirigidos a la ip 10.0.0.20 port 5910.

A partir de ahora el fw ve los paquetes como si fueran realmente a
10.0.0.20, por o tanto tendría que ahber algo así en el fw:
#iptables -t filter -A INPUT -d 10.0.0.20 -j ACCEPT
#iptables -t filter -A OUTPUT -d 10.0.0.20 -j ACCEPT
para que los paquetes puedan atravesar las cadenas de entrada y salida
del packet-filter.

Lo que hay que hacer es que los paquetes que _vuelven_ de la
10.0.0.20:5910 sean vistos desde afuera como si vinieran desde la
213.98.135.101 que es a donde se hizo originalemten la conexión:
#iptables -t nat -A POSTROUTING -s 10.0.0.20 -p tcp --source-port 5910 -j SNAT --to 213.98.135.101


Espero haber explicado bien.
Saludos,
Fernando