On Thu, Nov 13, 2003 at 10:44:05AM +0100, [EMAIL PROTECTED] wrote: > gracias Fernando, lo he probado y no me funciona, desde dentro de mi red > entro por VNC sin problema, le pongo 10.0.0.20:5910 y no me da problemas, > pero cuando intenta acceder alguien desde fuera con VNC a la > 213.98.135.101:5910, no responde, y es la ip publica de la 10.0.0.20
Me confundí con tu explicación y tanta ip address; par alo siguiente asumo que hay una máq. en la red interna con ip 10.0.0.20 que tiene que recibir las conexiones desde un fw cuya ip externa es 213.98.101 , sobre el port 5910. Primero, en el fw debe haber una regla que redirija los paquetes a la 10.0.0.20: #iptables -t nat -A PREROUTING -d 213.98.135.101 -p tcp --destination-port 5910 -j DNAT --to 10.0.0.20 esto hace que los paquetes que van a la ip externa del fw en el port 5910 sean redirigidos a la ip 10.0.0.20 port 5910. A partir de ahora el fw ve los paquetes como si fueran realmente a 10.0.0.20, por o tanto tendría que ahber algo así en el fw: #iptables -t filter -A INPUT -d 10.0.0.20 -j ACCEPT #iptables -t filter -A OUTPUT -d 10.0.0.20 -j ACCEPT para que los paquetes puedan atravesar las cadenas de entrada y salida del packet-filter. Lo que hay que hacer es que los paquetes que _vuelven_ de la 10.0.0.20:5910 sean vistos desde afuera como si vinieran desde la 213.98.135.101 que es a donde se hizo originalemten la conexión: #iptables -t nat -A POSTROUTING -s 10.0.0.20 -p tcp --source-port 5910 -j SNAT --to 213.98.135.101 Espero haber explicado bien. Saludos, Fernando
