Fwd: redireccionar ip y puertos mediante iptables
El 22 de septiembre de 2014, 23:30, Domingo Varela Yahuitl do...@hotmail.com escribió: Ah... se me olvidaba.. Usa el comando arp para ver si esta mapeado esa ip Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos Yo para hacer nat suelo usar rinetd man rinetd. Es muy sencillo de usar y pienso que te puede servir. Un saludo.
Re: redireccionar ip y puertos mediante iptables
pues ya probe la variante que me das: iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT incluso puse el orden del (-p tcp) delante de (-i eth0) aunque como dices esto no afecta los resultados son los mismos amigo. probe estas mismas reglas sin lo que me recomiendas del foward en el eth1 y todo me funciona a las mil maravillas me hace la redireccion pienso que se trate de alguna regla que me falte referente a que cuando se enmascara la ip que se encuentra en eth0 pasa con la msima ip de cara a la wan en este caso (10.0.0.10) y esta no es capaz de comunicarse con la (192.168.0.2) que es la ip que se encuentra en el otro servidor. El 22/09/2014 17:18, Andres M. Giribaldi escribió: Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542167b0.5060...@cncc.cult.cu
Re: redireccionar ip y puertos mediante iptables
las reglas de iptables son esas por el momento no tengo activo mas ninguna regla en iptables ecepto permitir todo, en otras palabras mi iptables esta virgen permisivo 100% ecepto estas reglas que comento que afectan la table NAT. El 22/09/2014 17:29, Domingo Varela Yahuitl escribió: Puedes enviar las reglas del iptables Iptables -n -L -v Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 http://10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 http://192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 http://192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com http://correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 http://192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 http://10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 http://10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 http://192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org mailto:debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: https://lists.debian.org/54209230.4000...@gmail.com
Re: redireccionar ip y puertos mediante iptables
como utilizo el comando arp para lo que me comentas, disculpa mi ignorancia pero el comando arp solo lo he usado cuando quiero saber la direccion mac de alguna pc y agregarla a squid para permitir o denegar. El 22/09/2014 17:30, Domingo Varela Yahuitl escribió: Ah... se me olvidaba.. Usa el comando arp para ver si esta mapeado esa ip Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 http://10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 http://192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 http://192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com http://correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 http://192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 http://10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 http://10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 http://192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org mailto:debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: https://lists.debian.org/54209230.4000...@gmail.com
Re: redireccionar ip y puertos mediante iptables
ahi van las reglas que me pides colega: Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.0.2 tcp dpt:80 Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes) pkts bytes target prot opt in out source destination ademas por webmin esto es lo que aparece cuando accedo al apartado de iptables, no se si sirva de algo: # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *mangle :PREROUTING ACCEPT [1:40] :INPUT ACCEPT [1:40] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2:2064] :POSTROUTING ACCEPT [2:2064] COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *filter :INPUT ACCEPT [1674:689151] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1785:430942] -A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *nat :PREROUTING ACCEPT [24:1461] :INPUT ACCEPT [24:1461] :OUTPUT ACCEPT [124:7876] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A POSTROUTING -j MASQUERADE COMMIT # Completed on Tue Sep 23 08:40:17 2014 El 22/09/2014 17:29, Domingo Varela Yahuitl escribió: Puedes enviar las reglas del iptables Iptables -n -L -v Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 http://10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 http://192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 http://192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com http://correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 http://192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 http://192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 http://10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 http://192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 http://10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 http://192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip
RE: redireccionar ip y puertos mediante iptables
Ariel, segun el correo que has enviado, tus interfaces tanto externas e internas son las siguientes: eth0= 10.0.0.0/24 donde 10.0.0.10 es una ip cualquiera del sergmento mencionado eth1= 192.168.0.0/24 donde 192.168.0.2 -- Este es tu servidor web Teniendo en cuenta todo lo anterior, vamos a crear NAT, DNAT y SNAT. Haremos uso de los comandos arp y route #arp -Ds NN.NN.NN.NN eth0 pub #route add NN.NN.NN.NN dev eth1 Donde: eth0 es la interfaz externa (Publica / internet) eth1 es la interfaz interna (Lan) NN es la ip homologada del segmento 111.222.333.444/27 Ejemplo: #Servidor de Correo/Http arp -Ds 10.0.0.10 eth0 pub route add 10.0.0.10 dev eth1 DNAT #HTTP iptables -A PREROUTING -t nat -i eth0 -p tcp -d 10.0.0.10 --dport 80 \ -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT --- Hasta aqui debera de funcionar tu DNAT --- y el enmascaramiento (Masquerade-NAT) iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE Suerte .. Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 Date: Tue, 23 Sep 2014 08:50:36 -0400 From: ar...@cncc.cult.cu To: debian-user-spanish@lists.debian.org Subject: Re: redireccionar ip y puertos mediante iptables ahi van las reglas que me pides colega: Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.0.2 tcp dpt:80 Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes) pkts bytes target prot opt in out source destination ademas por webmin esto es lo que aparece cuando accedo al apartado de iptables, no se si sirva de algo: # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *mangle :PREROUTING ACCEPT [1:40] :INPUT ACCEPT [1:40] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2:2064] :POSTROUTING ACCEPT [2:2064] COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *filter :INPUT ACCEPT [1674:689151] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1785:430942] -A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *nat :PREROUTING ACCEPT [24:1461] :INPUT ACCEPT [24:1461] :OUTPUT ACCEPT [124:7876] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A POSTROUTING -j MASQUERADE COMMIT # Completed on Tue Sep 23 08:40:17 2014 El 22/09/2014 17:29, Domingo Varela Yahuitl escribió: Puedes enviar las reglas del iptables Iptables -n -L -v Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0
Re: redireccionar ip y puertos mediante iptables
El Mon, 22 Sep 2014 12:19:21 -0400, Ariel Alvarez escribió: (...) tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. (...) La configuración que buscas es similar a la que tiene la mayoría de routers ADSL/FTTH, es decir, enrutamiento/redirección y nat (o modo bridge) por lo que cuando se habilita esta opción (reenvío, DMZ...) todos los paquetes que llegan a la interfaz remota son redireccionados al equipo local/puerto elegido. Para lograr eso mismo en Debian, básicamente necesitas 1/ activar el reenvío de paquetes (ip forwarding, que ya lo has hecho) y 2/ añadir las reglas a iptables para que hagan la magia (que ya has probado lgunas sin éxito). Te paso un par de enlaces por si te sirven o te dan alguna idea: How can I set my linux box as a router to forward ip packets? http://askubuntu.com/questions/227369/how-can-i-set-my-linux-box-as-a-router-to-forward-ip-packets Debian Router/Gateway in 15 Minutes http://blog.noviantech.com/2010/12/22/debian-router-gateway-in-15-minutes/ ¿Qué elementos pueden interferir? Que tengas un proxy de por medio, que el webmail esté trabajando en un puerto distinto del 80, etc... Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.23.14.52...@gmail.com
Re: redireccionar ip y puertos mediante iptables
Buenas El 23/09/2014 a las 09:29, Ariel Alvarez escibió: pues ya probe la variante que me das: iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT incluso puse el orden del (-p tcp) delante de (-i eth0) aunque como dices esto no afecta los resultados son los mismos amigo. Por lo que veo en un correo posterior la regla que te mencione no es necesaria porque tu politica es 100% ACCEPT, seria necesaria si tuvieras una potilica FORWARD DROP probe estas mismas reglas sin lo que me recomiendas del foward en el eth1 y todo me funciona a las mil maravillas me hace la redireccion pienso que se trate de alguna regla que me falte referente a que cuando se enmascara la ip que se encuentra en eth0 pasa con la msima ip de cara a la wan en este caso (10.0.0.10) y esta no es capaz de comunicarse con la (192.168.0.2) que es la ip que se encuentra en el otro servidor. No entiendo que fue lo que hiciste aqui, podrias aclararlo. Que has hecho para que funcione? El 22/09/2014 17:18, Andres M. Giribaldi escribió: Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54218ff9.1010...@gmail.com
Re: redireccionar ip y puertos mediante iptables
El 23/09/2014 11:21, Andres M. Giribaldi escribió: Buenas El 23/09/2014 a las 09:29, Ariel Alvarez escibió: pues ya probe la variante que me das: iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT incluso puse el orden del (-p tcp) delante de (-i eth0) aunque como dices esto no afecta los resultados son los mismos amigo. Por lo que veo en un correo posterior la regla que te mencione no es necesaria porque tu politica es 100% ACCEPT, seria necesaria si tuvieras una potilica FORWARD DROP probe estas mismas reglas sin lo que me recomiendas del foward en el eth1 y todo me funciona a las mil maravillas me hace la redireccion pienso que se trate de alguna regla que me falte referente a que cuando se enmascara la ip que se encuentra en eth0 pasa con la msima ip de cara a la wan en este caso (10.0.0.10) y esta no es capaz de comunicarse con la (192.168.0.2) que es la ip que se encuentra en el otro servidor. No entiendo que fue lo que hiciste aqui, podrias aclararlo. Que has hecho para que funcione? Me referia a que probe estas reglas pero en vez de hacerlo para eth0 que es mi situacion real lo hice para eth1 (192.168.0.3), ejemplo: echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 192.168.0.2:80 iptables -t nat -A POSTROUTING -j MASQUERADE y me funciona la redireccion, es decir cada vez que pido algun alias o host virtual contenido en mi dominio interno me redirecciona correctamente al servidor web que se encuentra en el otro servidor 192.168.0.2 ejemplo: 192.168.0.3/mrtg es un alias que tengo creado en el servidor que tiene las dos interfaces (eth0 y eth1), al pedir ese alias o cualquier otro como es logico me redirecciona a 192.168.0.2 y me puedo autenticar en mi servidor de correo, pero en este caso no son las peticiones desde eth1 las que deben ser redireccionadas si no las de eth0 que vienen desde el exterior al puerto 80 El 22/09/2014 17:18, Andres M. Giribaldi escribió: Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A
Re: redireccionar ip y puertos mediante iptables
gracias colega por tu ayuda, yo cambie como es logico las numeraciones de las direcciones ip, en este caso cuando me refiero a: 10.0.0.10 seria la ip real que en la realidad no es esa 192.168.0.3 seria la ip que estaria en mi segmento de la red lan, pero en el mismo servidor que la 10.0.0.10 son dos interfaces de red fisicas 192.168.0.2 seria la direccion ip del otro servidor al que debo redireccionar todo el trafico que venga por el puerto 80 desde la 10.0.0.10 esto fue lo que hice, cambiando (MI.DIRECCION.IP.REAL) por los datos reales: arp -Ds MI.DIRECCION.IP.REAL eth0 pub route add MI.DIRECCION.IP.REAL dev eth1 iptables -A PREROUTING -t nat -i eth0 -p tcp -d MI.DIRECCION.IP.REAL --dport 80 -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT Al crear la regla de enmascaramiento (iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE**) me da el siguiente error iptables v1.4.14: host/network `eth1' not found Try `iptables -h' or 'iptables --help' for more information. por tanto la cree de la siguiente forma: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE al hacer todo esto obtengo los mismos resultados, cuando pido la url en cuestion al servidor web la interface que aparece es la del servidor relay El 23/09/2014 10:11, Lic. Domingo Varela Yahuitl escribió: Ariel, segun el correo que has enviado, tus interfaces tanto externas e internas son las siguientes: eth0= 10.0.0.0/24 donde 10.0.0.10 es una ip cualquiera del sergmento mencionado eth1= 192.168.0.0/24 donde 192.168.0.2 -- Este es tu servidor web *Teniendo en cuenta todo lo anterior, vamos a crear NAT, DNAT y SNAT.* Haremos uso de los comandos *arp* y*route* #arp -Ds NN.NN.NN.NN eth0 pub #route add NN.NN.NN.NN dev eth1 Donde: eth0 es la interfaz externa (Publica / internet) eth1 es la interfaz interna (Lan) NN es la ip homologada del segmento 111.222.333.444/27 Ejemplo: #Servidor de Correo/Http arp -Ds 10.0.0.10 eth0 pub route add 10.0.0.10 dev eth1 *DNAT* #HTTP iptables -A PREROUTING -t nat -i eth0 -p tcp -d 10.0.0.10 --dport 80 \ -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT --- Hasta aqui debera de funcionar tu DNAT --- y el enmascaramiento (Masquerade-NAT) iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE* * Suerte .. Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 Date: Tue, 23 Sep 2014 08:50:36 -0400 From: ar...@cncc.cult.cu To: debian-user-spanish@lists.debian.org Subject: Re: redireccionar ip y puertos mediante iptables ahi van las reglas que me pides colega: Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.0.2 tcp dpt:80 Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes) pkts bytes target prot opt in out source destination ademas por webmin esto es lo que aparece cuando accedo al apartado de iptables, no se si sirva de algo: # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *mangle :PREROUTING ACCEPT [1:40] :INPUT ACCEPT [1:40] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2:2064] :POSTROUTING ACCEPT [2:2064] COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *filter :INPUT ACCEPT [1674:689151] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1785:430942] -A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *nat :PREROUTING ACCEPT [24:1461] :INPUT ACCEPT [24:1461] :OUTPUT ACCEPT [124:7876] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A POSTROUTING -j MASQUERADE COMMIT # Completed on Tue Sep 23 08:40:17 2014 El 22/09/2014 17:29, Domingo Varela Yahuitl escribió: Puedes enviar las reglas del iptables Iptables -n -L -v Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com mailto:andres2...@gmail.com To: debian-user-spanish@lists.debian.org mailto:debian-user-spanish@lists.debian.org
Re: redireccionar ip y puertos mediante iptables
Ejecuta primero Iptables -F Y despues los comandos que te envie cambiando por los valores reales de tu red Enviado desde mi dispositivo android. -Original Message- From: Ariel Alvarez ar...@cncc.cult.cu To: debian-user-spanish@lists.debian.org Sent: mar, 23 sep 2014 11:47 Subject: Re: redireccionar ip y puertos mediante iptables gracias colega por tu ayuda, yo cambie como es logico las numeraciones de las direcciones ip, en este caso cuando me refiero a: 10.0.0.10 seria la ip real que en la realidad no es esa 192.168.0.3 seria la ip que estaria en mi segmento de la red lan, pero en el mismo servidor que la 10.0.0.10 son dos interfaces de red fisicas 192.168.0.2 seria la direccion ip del otro servidor al que debo redireccionar todo el trafico que venga por el puerto 80 desde la 10.0.0.10 esto fue lo que hice, cambiando (MI.DIRECCION.IP.REAL) por los datos reales: arp -Ds MI.DIRECCION.IP.REAL eth0 pub route add MI.DIRECCION.IP.REAL dev eth1 iptables -A PREROUTING -t nat -i eth0 -p tcp -d MI.DIRECCION.IP.REAL --dport 80 -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT Al crear la regla de enmascaramiento (iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE**) me da el siguiente error iptables v1.4.14: host/network `eth1' not found Try `iptables -h' or 'iptables --help' for more information. por tanto la cree de la siguiente forma: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE al hacer todo esto obtengo los mismos resultados, cuando pido la url en cuestion al servidor web la interface que aparece es la del servidor relay El 23/09/2014 10:11, Lic. Domingo Varela Yahuitl escribió: Ariel, segun el correo que has enviado, tus interfaces tanto externas e internas son las siguientes: eth0= 10.0.0.0/24 donde 10.0.0.10 es una ip cualquiera del sergmento mencionado eth1= 192.168.0.0/24 donde 192.168.0.2 -- Este es tu servidor web *Teniendo en cuenta todo lo anterior, vamos a crear NAT, DNAT y SNAT.* Haremos uso de los comandos *arp* y*route* #arp -Ds NN.NN.NN.NN eth0 pub #route add NN.NN.NN.NN dev eth1 Donde: eth0 es la interfaz externa (Publica / internet) eth1 es la interfaz interna (Lan) NN es la ip homologada del segmento 111.222.333.444/27 Ejemplo: #Servidor de Correo/Http arp -Ds 10.0.0.10 eth0 pub route add 10.0.0.10 dev eth1 *DNAT* #HTTP iptables -A PREROUTING -t nat -i eth0 -p tcp -d 10.0.0.10 --dport 80 \ -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT --- Hasta aqui debera de funcionar tu DNAT --- y el enmascaramiento (Masquerade-NAT) iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE* * Suerte .. Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 Date: Tue, 23 Sep 2014 08:50:36 -0400 From: ar...@cncc.cult.cu To: debian-user-spanish@lists.debian.org Subject: Re: redireccionar ip y puertos mediante iptables ahi van las reglas que me pides colega: Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.0.2 tcp dpt:80 Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes) pkts bytes target prot opt in out source destination ademas por webmin esto es lo que aparece cuando accedo al apartado de iptables, no se si sirva de algo: # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *mangle :PREROUTING ACCEPT [1:40] :INPUT ACCEPT [1:40] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2:2064] :POSTROUTING ACCEPT [2:2064] COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *filter :INPUT ACCEPT [1674:689151] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1785:430942] -A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Sep 23 08:40:17 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 *nat :PREROUTING ACCEPT [24:1461] :INPUT ACCEPT [24:1461] :OUTPUT ACCEPT [124:7876] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A POSTROUTING -j MASQUERADE COMMIT
RE: redireccionar ip y puertos mediante iptables
Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. el Problema es posible que tendras que Natear su red wan hacia la ip de tu server de correos , arma tu estructura de red para que no tenga problemas. luego establece las politicas de NAT para lo que son correos electronicos y los puertos de conexion desde fuera. por lo que veo no tienes un levantado una DMZ seria ideal que lo hagas, pues imagenos que pepito quiere ingresar a su correo via web , entonces al buscar el dominio , lo que hara la DMZ es direccionar a un servidor interno desde tu LAN. PD ,crea un script en tu firewall saludos WRC Yo para hacer nat suelo usar rinetd man rinetd. Es muy sencillo de usar y pienso que te puede servir. Un saludo.
redireccionar ip y puertos mediante iptables
Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54204c09.3040...@cncc.cult.cu
Re: redireccionar ip y puertos mediante iptables
Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54209230.4000...@gmail.com
Re: redireccionar ip y puertos mediante iptables
Puedes enviar las reglas del iptables Iptables -n -L -v Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54209230.4000...@gmail.com
Re: redireccionar ip y puertos mediante iptables
Ah... se me olvidaba.. Usa el comando arp para ver si esta mapeado esa ip Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54209230.4000...@gmail.com