> Gente, llevo días luchando con shorewall. El problema es que si bien puedo > abrir y cerrar puertos perfectamente no he podido hacer dnat a mi ftp ni a > nada de nada. Les dejo la data de mi configuraciòn y las cosas que ya he > descartado: >
David, sólo para chequear... estas probando todo desde una maquina que NO está en tu LAN? o sea, que el tráfico que queres enviar al servidor FTP de tu LAN ingrese "desde" internet, por la interface ppp0? Con DNAT no vas a poder hacer DNAT si probas desde la misma LAN (eth0->ppp0->eth0). En este caso, desde las maquinas de la LAN deberias apuntar directamente a 10.39.1.100 (y no pasas por shorewall). > -Tengo dos placas de red, una a la red local (eth0) y otra al modem adsl > (eth1); pero la que sale es internet es ppp0 que sale a traves de eth1... > se > me ocurré que el conflicto puede venir de ahi pero no se... En Shorewall si hay algo piola, es el tema de las "zonas" y no te complicas con los nombres de las placas. En tu caso, según el archivo /etc/shorewall/interfaces que enviaste está bien configurado (en la zona "net" está la interface "ppp+"). De todas formas yo para una conexion por adsl utilizo: net ppp0 detect dhcp Sobre las opciones de la interface, creo que alli puede estar el problema: "routefilter,routeback,norfc1918" Fijate lo que dice la ayuda sobre "routefilter" -------- Turn on kernel route filtering for this interface (anti-spoofing measure). The option value (0 or 1) may only be specified if you are using Shorewall-perl. With Shorewall-perl, only those interfaces with the routefilter option will have their setting changes; the value assigned to the setting will be the value specified (if any) or 1 if no value is given. -------- Por otro lado, la opcion "routeback", tampoco la usaría en tu caso. -------- routeback If specified, indicates that Shorewall should include rules that allow traffic arriving on this interface to be routed back out that same interface. This option is also required when you have used a wildcard in the INTERFACE column if you want to allow traffic between the interfaces that match the wildcard. -------- En /etc/shorewall/rules tenes las reglas que enviaste o hay más? Te pregunto porque debes tener en cuenta que SI importa el orden de las reglas y deberias descartar que otra regla este pisando lo que vos quereś hacer. DNAT para FTP: FTP/DNAT net loc:10.39.1.100 DNAT para RDP: DNAT net loc:10.39.1.99 tcp 3389 -- Hernan [email protected]
