El 29 de mayo de 2010 08:33, PedroTron <porsiunc...@gmail.com> escribió:
> saludos. > > Estoy tratando de implementar un firewall con shorewall como tengo 3 > direcciones publicas disponibles, deseo hacer uso de las mismas. > > Ya tengo todas las IPs asignadas a mis servidor usando dispositivos > virtuales > > > eth0 = 200.1.2.2 > eth0:0 = 200.1.2.3 > eth0:1 = 200.1.2.4 > > Desde internet puedo acceder por cualquiera de las tres direcciones. > > > auto eth0 > iface eth0 inet static > address 200.1.2.2 > netmask 255.255.255.248 > gateway 200.1.2.1 > > > auto eth0:0 > iface eth0:0 inet static > address 200.1.2.3 > netmask 255.255.255.248 > #gateway 200.1.2.1 > > > auto eth0:1 > iface eth0:1 inet static > address 200.1.2.4 > netmask 255.255.255.248 > #gateway 200.1.2.1 > > Mi problema esta cuando intento publicar algun servicio de un servidor > detras del firewall usando una IP publica de las virtuales > > Con la siguiente regla de shorewall busco publicar el escritorio remoto de > un equipo de mi red local usando la segunda ip publica disponible > (200.1.2.3) pero no funciona. Analizando con snort encuentro que el paquete > si llega la estacion destino, pero no regresa. > > DNAT:info all LAN:172.16.10.6 tcp 3389 - 200.1.2.3 > > Si uso la misma regla sin indicar la IP publica, funciona correctamente > pues accede por la primera ip publica 200.1.2.2 > > Lo unico que encuentro distinto en las configuraciones de red, es que solo > la primera ip publica tiene declarada la puerta de enlace, mientras que las > otras no. Inicialmente tenia todas tres con la puerta de enlace (que es la > misma), pero cuando el servidor se reinicio por problemas electricos ya no > podiamos acceder a internet. Comente las puertas de enlace de las dos > interfaces virtuales (eth0:0 y eth0:1) y nuevamente funciono el acceso a > internet. > > Puede ser esa falta de puerta de enlace en las virtuales lo que me falta? > no se supone que si no tienen puerta de enlace usaran la predeterminada (o > sea la de eth0)? > > Si las activo, puedo quedar sin internet; si no las activo, no puedo > reenviar nada con las otras IPs. > > Como han manejado ustedes casos como este? > > Muchas gracias por su paciencia y ayuda. > > > Hasta pronto. > que mas, mira yo no uso shorewall yo uso iptables y lo que tenes que hacer si estas intentando que una IP privada salga a una IP publica es enmascaramiento. seria algo así: todo lo que venga a la IP 200.1.2.3 al puerto 5900(VNC) enviarlo a la ip 172.16.10.6 iptables -A PREROUTING -t NAT -i eth0 -d 200.1.2.3/24 -p tcp --dport 5900 -j DNAT --to-destination 172.16.10.6:puerto iptables -A POSRUTING -t NAT -i eth1 -j MASQUERADE supongo que tu eth1 es tu interfaz LAN y no importa la puerta de enlace ya que esta es única para el kernel. $netstat -rn lo que podes hacer es agregar las rutas para las interfaces $route add -net 200.1.2.0 dev eth0 $route add -host 200.1.2.2 dev eth0 $route add -host 200.1.2.3 dev eth0:0 $route add -host 200.1.2.4 dev eth0:1 podes mirar la tabla de enrutamiento con netstat -rm pa' que veas que todos tienen la misma puerta de enlace. saludo, -- Jorge A. Toro Hoyos Ing. Telemático. CumbiaTIC, Dir. División de Informática COR, Ing. NOC Anditel (Proyecto COMPARTEL). Esp. GNU/Linux. Esp. Desarrollo de Software. -------------------------------------------------------------- Powered By Debian. Developer Bullix GNU/Linux. -------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -----END PGP SIGNATURE----- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
