Forums:
Cómo están amigos, tengo algunas dudas respecto al NAT que se puede hacer con iptables. He trabajado con DNAT y SNAT sin problemas hasta ahora pero se me presentó un requerimiento especial y algo no funciona bien. Ojalá puedan ayudarme con una guía.
Les comento.
Tengo un firewall con iptables a través del cual publico un servidor de correo haiendo por supuesto DNAT hacia la LAN. Gran parte de los usuarios del servidor de correo (unos 40) necesitan conectarse al mismo (vía Outlook) tanto desde la red local, como desde Internet., pero sin tener que cambiar la dirección IP del servidor SMTP en su configuración de Outlook.
Antes, como el servidor de correo estaba tambien en la maquina que funcionaba como firewall no había problema pues en la configuración de outlook estaba la IP publica.
Ahora mi regla de DNAT funciona excelente si la gente se conecta al correo desde afuera apuntando a la pública, pero si lo hacen desde la LAN, asimismo apuntando a la pública no funca.
Les agradecería mucho si pueden recomendarme al respecto.
Saludos cordiales.
A mi parecer podrías más
A mi parecer podrías más bien configurar los equipo para que en lugar de apuntar a la ip, apunten a mail.empresa.com. De esta manera cuando estén afuera, como utilizarán un DNS externo al tuyo, sabrán cual es la ip pública de tu empresa y descargarán el correo sin problemas.
Para cuando estén dentro de la empresa implementaría entonces en mi dns para que mail.empresa.com devuelva la ip interna del equipo y asunto arreglado.
La opción de hacer DNAT no la veo lógica pues necesitarías que los paquetes salgan hacia internet y vuelvan a entrar hacia tu red. Un poco raro este esquema.
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
Muchas Gracias Juan Carlos
Muchas Gracias Juan Carlos pues sip, tienes razón. Fue lo primero que se planteó. El asunto es que esta organización utiliza un servidor intermediario en Internet que checa los mensajes por virus y todo el asunto, el registro MX de su dominio apunta al server intermediario y este lo reenvía luego del chequeo a su red. El encargado de esto no está muy convencido de asignarle un nombre de host a la IP pública del firewall para evitar así que se le ubique fácilmente.
Saludos,
José Antonio L'enchanteur
hola josé antonio, la idea
hola josé antonio, la idea de jcyepez es correcta.. mira, estudia los views en DNS.. puedes crear vistas y logras así que tu servidor sea visible para los usuarios de una vista.. mientras que para los demás la vista que responde dará la IP del externo..
porque estás queriendo ahora hacer un dnat para los que están dentro del nat, y no me parece muy fáicl.. digo, al menos yo lo haría con views. Así hice hace unos 3 años con un ministerio acá en Ecuador y siguen usando los views correctamente.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
hola, Mira este tutorial,
hola,
Mira este tutorial, http://security.maruhn.com/iptables-tutorial/x9305.html
Justo en la mitad te explican lo que creo que esta pasando. Ojo, ellos recomiendan justamente lo que dicen jcyepez y epe, utiliza DNS u otra opcion levantar una DMZ.
Suerte
Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.