> y de internet hacia acá mi servidor de correo padre que el 10.10.24.6 en La > Habana mas servicio web por el 80 mas NADA > todo lo otro bloqueado buen ya esto es un poco más dificil, ahí si requieres un nateo, te pondre un nateo de correo que es el mas complejo, lo demas es cambiar el puerto
El servidor de coreo esta en al LAN con la ip 192.168.1.2... esto es el iptables del servidor que esta de cara a a internet, basicamente lo que hará será repetir el trafico hacia el servuidor que tiene en la LAN además de traer lo que mande eset y tirarlo para internet eth1 192.168.1.1 [LAN] eth0 200.0.0.1 [IP publcia de internet] Todo lo que venga del SMTP que tiene 192.168.1.2, saldrá por eth0 hacia internet iptables -t nat -A POSTROUTING -s 192.168.1.2 -p tcp --dport 25 -o eth0 -j MASQUERADE Todo lo que valla para el puerto 25, se lo mandamos al 25 de 192.168.1.2 de la lan iptables -t nat -A PREROUTING -p tcp -d 200.0.0.1 --dport 25 -j DNAT --to-destination 192.168.1.2:25 Autorizamos el forward cuyo destino sea 192.168.1.2 si y solo si va para el puerto 25 iptables -A FORWARD -d 192.168.1.2 -p tcp --dport 25 -j ACCEPT OJO! muy importante, al piedra filosofal, este es el paso que al gente se salta y después te dicen "no me pincha" Permitimos que als conecciones establecidas (los puertos altos) se reenvien. Si no, el servidor da timeuot porque la coneccion muere. Cuando tu puedes el puerto 25 el te da STABILISHED y te madna pa un puerto alto. La gente abre todos los puertos grandes por rango, vulnerandose de mala manera, esto permite cualquier coneccion que YA se halla establecido nada mas, sea cual sea el puerto. Sin esto, como dicen en la funeraria: "no somos nada" iptables -A FORWARD -d 192.168.1.2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT EL servidor de correo, puede acceder a todos los servidores de correo de internet sin prblema, pa afeura no hay problemas: iptables -A FORWARD -s 192.168.1.2 -j ACCEPT ya se repartien las entradas y ya los asientos estan reservados, cerramos las puertas para los demás, tanto de adentro como para afuera. iptables -A FORWARD -j DROP Damas y caballeros, que empieze el espectáculo. echo 1 > /proc/sys/net/ipv4/ip_forward Con eso ya tiene un servidor SMTP que entrega de cara a internet estando en la LAN y a su vez recibe los correos de internet. Como en el mundo normal. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
