Hola lista. Tengo un problema y les agradecería alguna idea que, o me ayude a resolver el problema, o me permita enfocarme a su solución. El problema es el siguiente:
Quiero montar un firewall/gateway en mi red que me separe y filtre el tráfico entre mi LAN y la red externa y viceversa. Trabajo en una provincia y tengo por encima a mi entidad superior la cual funciona como proxy padre, como relay de los correos de mi dominio y como dns de nivel superior, conteniendo el registro MX de mi servidor de correo así como los registros A de mis servidores web y ftp. Además a través de mi router puedo comunicarme con las demás entidades de las restantes provincias. Necesito ofrecer acceso desde afuera a más de un servicio web(puerto 80), los cuales estarán hosteados dentro de mi LAN (en una DMZ probablemente) usando diferentes IPs. Las ips de acceso desde fuera a los servidores web serán la 192.168.208.5 y 192.168.208.8 La configuracíon quedaría así: 192.168.0.0/24 (red externa) <=====> Firewall/Gateway <=====> Servers WEB (IPs 10.0.0.5/24 y 10.0.0.8/24) El Firewal/Gateway tendrá como ip en la Interfaz externa 192.168.208.2/24 que es la red interna a la cual mi router enruta los paquetes que llegan. La ip de la interfaz interna será 10.0.0.1/24. Quiero saber si es posible lograr que se pueda acceder a estos 2 servidores web desde fuera usando sus respectivas ips (192.168.208.x). He pensado en crear interfaces virtuales asociadas a la interfaz externa pero aún no sé lo que sea mejor. Aconséjenme por favor, pues creo que esta situación es bastante común. pensé en algo como esto, díganme si la idea puede ser correcta. iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.0.0/16 -d 192.168.208.5 --dport 80 -j DNAT --to-destination 10.0.0.5 iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp -s 192.168.0.0/16 -d 10.0.0.5 --dport 80 -j SNAT --to-source 10.0.0.1Pensé también en hacerles un REDIRECT a los paquetes en dependencia del destino a puertos diferentes y poner a escuchar los servidores web por otros puertos. Aunque esa idea no me gusta mucho. Bueno, muchas gracias de antemano, y agradecería su ayuda. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140422/651c80f1/attachment.html> ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
