Andy Lucena Hernández escribió: > Saludos listeros > > He aqí mi problema, estoy al fin saliendo de windows en mi server y montando > un CentOS 5 pero me tropiezo con un problema a la hora de que mi lan vea la > wan, El problema es el siguiente, tengo un server con 2 tarjetas de red > 192.168.0.0/24 que mira a mi lan y 172.16.32.0/24 que mira a mi ISP, desde el > server yo hago ping para mi wan y mi lan pero desde la lan no veo la wan, > creo por la experiencia en el 2003 server que lo que me falta es implementar > nat en mi iptables pero ni idea de como. Si me puedieran dar ideas serían > bienvenidas, tengo mi trabajo "tirado al piso" en la conexión. > > Un Saludo > > xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx > Andy Lucena Hernández > Administrador de Red > Joven Club Camajuaní 2 > GNU/Linux User: 464260 > Ubuntu User: 25560 > Web: http://andylucena.blogspot.es > Teléfono (042) 484298 > xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l > > -- > Visite nuestra web en Internet > http://www.ispvc.rimed.cu > "50 Años de Educación en Revolución" > > -- > XI Encuentro Internacional de Economistas sobre Globalización y Problemas del > Desarrollo 2 al 6 de marzo de 2009 > http://www.anec.cu/ >
Para el que usen Iptables directo estás reglas sustituyen las anteriores usadas para Firehol: Activamos el forwarding de paquetes, sin esto el NAT, DNAT y SNAT no funcionaran: echo 1 > /proc/sys/net/ipv4/ip_forward Creamos una regla que permita el forwarding de paquetes originado en una PC A al puerto 21 del servidor: iptables -A PREROUTING -s 192.168.170.11 -p tcp -m tcp --dport 21 -j DNAT --to-destination 200.55.156.170:21 Sintaxis: iptables = comando (firewall) -t nat = tabla NAT -A PREROUTING = insertar nueva regla en la cadena PREROUTING -s 192.168.170.11 = PC que que establece la conexión -p tcp = protocolo de los paquetes --dport 21 = puerto de destino -j DNAT = acción a realizar --to-destination 200.55.156.170:21 = ip y puerto de destino Creamos una regla que diga que los paquetes enviados a B al puerto 21 son enviados por A iptables -t nat -A POSTROUTING -d 200.55.190.214 -p tcp --dport 21 -j SNAT --to-source 192.168.159.98 Sintaxis: iptables = comando (firewall) -t nat = tabla NAT -A POSTROUTING = insertar nueva regla en la cadena POSTROUTING -d 200.55.190.214 = ip de destino -p tcp = protocolo de los paquetes --dport 21 = puerto de destino -j SNAT = acción a realizar --to-source 192.168.159.98 = ip que origino los paquetes Parece un poco complicado no?, en realidad no es así. -- Y para frehol #-- nat total --# router admin2 inface eth0 outface eth1 src 172.16.1.3 masquerade route all accept traduzco: router, comando para comenzar el nat admin2, nombre de la ruta inface, comando para indicar la interfaz de origen etho, nombre de mi interfaz de origen, esa es mi lan outface, comando para indicar la interfaz de destino eth1, nombre de mi interfaz de destino, esa es mi wan masquerade, es enmascarar y salir como el mismo route all accept, acepta todo el enmascaramiento, permitiendo conectarse a todos los puertos permitidos en el destino #-- nat a un ip y un puerto --# router censoe inface eth2 outface eth0 src "172.16.1.13 172.16.1.14" dst 200.55.190.214 server ftp accept inface eth2 outface eth0 #server http accept inface eth2 outface eth0 masquerade route all drop traduzco esta mecolambia router, comando para comenzar el nat censoe, nombre de la ruta inface, comando para indicar la interfaz de origen eth2, nombre de mi interfaz de origen, esa es mi lan outface, comando para indicar la interfaz de destino eth0, nombre de mi interfaz de destino, esa es mi wan luego el ip o los ip entre comillas que quieres permitir de tu lan que salgan a la wan dst, comando para indicar el ip de destino server ftp accept inface eth2 outface eth0 server http accept inface eth2 outface eth0 aqui le digo que le permitire de ese enmascaramiento el puerto 21 y 80 si pones otro puerto permitido como ssh tambien podra hacerle ssh a ese server si lo tuviese permitido hacer masquerade, es enmascarar y salir como el mismo route all drop, deniega todo lo demás que está despues del enmascaramiento. espero les sirva, ya lo probé de conjunto con relvys que me dio algunas ideas -- Eliecer Turó González Administrador de red Nodo de Comunicaciones [dmece.vcl.rimed.cu] Dirección Municipal de Educación Caibarién. Villa Clara. Cuba. Telefono: 35-2750 Linux Counter No. 458084 Jabber ID: [[email protected]] [[email protected]] Sitio web: [http://etgonzalez.wordpress.com] -- Visite nuestra web en Internet http://www.ispvc.rimed.cu "50 Años de Educación en Revolución" -- XI Encuentro Internacional de Economistas sobre Globalización y Problemas del Desarrollo 2 al 6 de marzo de 2009 http://www.anec.cu/ -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
