Buenas tardes a todos.

Me encuetro interesado en registrar un dominio (midominio.com) apuntar este dominio a una ip publica que se encuentra en mi ruteador (linux_centos) pero que el dominio se encuentre hospedado en un servidor con ip privada dentro de una DMZ. Es posible de realizar esto.

Atte.
Gracias a todos.

---

Oscar Cáceres

Agregando una regla parecida a esta en el router te debería funcionar



Donde W.X.Y.Z es la IP privada de tu server.

Saludos!

Gracias por respoder.

He creado unas reglas DNAT.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to x.x.x.x:53
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to x.x.x.x:53
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to x.x.x.x:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to x.x.x.x:25
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to x.x.x.x:110

eth0 es WAN
eth1 es DMZ

aparentemente llegan las peticiones al servidor privado, pero creo que no retornan.

Gracias

---

Oscar Cáceres

Te falta unas reglas mas o menos de este estilo

-A FORWARD -o eth0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state NEW -j ACCEPT


para que deje salir las conexiones ya establecidas pero haria falta ver que mas reglas tienes para poderte ayudar bien

INFO

Estoy tratando de implementarlas con vlans, sera eso un problema?

eth0 ip publica
eth1 LAN
eth1.11 ipLAN 172.24.24.1/29
eth2 DMZ
eth2.10 ipdmz 172.23.23.1/29

servidor en dmz 172.23.23.2/29

OBS: comprendo que las politicas ACCEPT por defecto no son recomendadas pero en un segundo paso lo intentaria con DROP.
En estos momentos las lineas comentadas no las estoy aplicando, la lan navega accede a server dmz por ip no por dominio. Pero desde afuera nada ##############################



iptables -F
iptables -X
iptables -Z
iptables -t nat -F


iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -A POSTROUTING -s 172.24.24.0/29 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.23.23.0/29 -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

##Si aplico la primera linea del PREROUTING; localmente osea desde la lan puedo acceder a todos los servicios, pero desde internet no. Si no aplico esta primera linea no tengo acceso ni desde la lan ni desde internet a los servicios del server a no ser por ip.

#iptables -t nat -A PREROUTING -m multiport -p tcp --dport 25,53,80,81,110,444,8080,8009,3306 -j DNAT --to 172.23.23.2

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.23.23.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 172.23.23.2:443
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to 172.23.23.2:53
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to 172.23.23.2:53
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -j DNAT --to 172.23.23.2:222
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 444 -j DNAT --to 172.23.23.2:444
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to 172.23.23.2:8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8009 -j DNAT --to 172.23.23.2:8009
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to 172.23.23.2:3306
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 444 -j DNAT --to 172.23.23.2:444
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to 172.23.23.2:143
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to 172.23.23.2:110
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT --to 172.23.23.2:81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 172.23.23.2:25
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 172.23.23.2:21


# IP admin
iptables -A INPUT -s x.x.x.x/30 -j ACCEPT
iptables -A INPUT -s x.x.x.x/24 -j ACCEPT

#LAN ACCESS
iptables -A INPUT -s 172.24.24.0/29 -i eth1.11 -j ACCEPT

#DMZ ACCESS
iptables -A INPUT -s 172.23.23.0/29 -i eth2.10 -j ACCEPT

#ACCES LAN TO DMZ
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 80:81 --dport 80 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 80 --dport 80:81 -j ACCEPT
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 444 --dport 444 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 444 --dport 444 -j ACCEPT
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 222 --dport 222 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 222 --dport 222 -j ACCEPT

#Puertos cerrados
#iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
#iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP


# THE END

---

Oscar Cáceres

moy aplique las dos reglas que me has facilitado pero todo sigue igual. Realice una consulta de midominio.com desde internet y me tira los guientes log.

NS --- Servidores Online/Offline

ns1.midominio.com [A=ippublica en firewall] => online
ns2.midominio.com [A=ippublica en firewall] => online

Esto me hace pensar que las consultas al puerto 53 estan siendo redirecionadas a la ip privada del servidor en la dmz.

MX ---- Registro MX

mail.midominio.com [PRI=20] => offline

Registro MX Listando o registro MX

mail.midominio.com [PRI=20] => offline

IPs Publicos ----- Uno o mas direcciones IP de sus servidores es privado, eso significa que el no es accesíble desde Internet.

WWW-------Registro WWW

Su registro WWW apunta para:
www.midominio.com [A=172.23.23.2] => offline

IPs Publicos Uno o mas direcciones IP de sus servidores es privado, eso significa que el no es accesíble desde Internet.

Registro A para el domínio

El registro A para este domínio apunta para:

midominio.com [A=172.23.23.2]


luego de esta verificasion es mas que evidente que las consultas al dns son redirecionadas al servidor en la dmz, pero los servidores de mail y web no son accesibles.

y me hago las siguientes preguntas.

1 Sera que los registros en el dns apuntando al mail y web deben de ser ip privadas.
2 Sera que el servidor dns debe estar tambien con una ip privada.

Solo queria ampliar los datos de mi problema, haber si alguien pudiera ayudarme.

No soy un experto en la materia.

Gracias

---

Oscar Cáceres

entonces si estas usando vlans es porque tienes todo conectado aun solo switch? y en ese tienes lan y dmz y desde la lan tienes problemas para acceder al server tambien o solo de afuera, yo tengo mis reglas asi

-A PREROUTING -d ippublica -i tarjetadeentrada -p tcp -m tcp --dport 80 -j DNAT --to-destination ipdemiserverendmz:80

eso es para redirigir las conexiones de afuera hacia la dmz al server
pero hay que ponerle que acepte conexiones tambien en ese puerto


-A INPUT -i tarjetadeentrada -p tcp -m tcp --dport 80 -j ACCEPT

que haga forware

-A FORWARD -i tarjetadeentrada -p tcp -m tcp --dport 80 -j ACCEPT

que mantenga las conexiones ya establecidas

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

y que permita las de salida para que el server conteste
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 --dport 53 -m state --state ESTABLISHED -j ACCEPT

si quieres contactame y si tienes acceso por ssh le podemos echar un lente
haber en que te podemos ayudar

He me aqui una vez mas.
Sigo peleando. Sera que el orden en el que voy aplicando las reglas es el problema. Esto quedo asi. Tengo internet en la LAN en la DMZ, pero no puedo acceder a los servicios del servidor en la DMZ ni de internet ni la LAN.

iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -A PREROUTING -j LOG
iptables -t nat -A PREROUTING -j LOG
## DEFAUL POLICY

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# IP admin
iptables -A INPUT -s x.x.x.x/30 -j ACCEPT
iptables -A INPUT -s 172.30.0.0/24 -j ACCEPT

#LAN ACCESS FOR FIREWALL
iptables -A INPUT -s 172.24.24.0/29 -i eth1.11 -j ACCEPT

#DMZ ACCESS FOR FIREWALL
iptables -A INPUT -s 172.23.23.0/29 -i eth2.10 -j ACCEPT

#NAT LAN DMZ
iptables -t nat -A POSTROUTING -s 172.24.24.0/29 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.23.23.0/29 -o eth0 -j MASQUERADE

#FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward

################################################################
# ACEPTAR CONEXIONES #
################################################################
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 444 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 8009 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 444 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 81 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
################################################################
################################################################
#FORWARE
################################################################
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 444 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 8009 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 444 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 81 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
#################################################################
#################################################################
#MANTENER CONEXIONES ESTABLECIDAS
#################################################################

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

###################################################################
###################################################################
#PERMITIR SALIDA DEL SERVER PARA CONTESTAR
###################################################################
iptables -A OUTPUT -p udp -m udp --sport 53 --dport 1025:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT


#FORDWARD DMZ
#iptables -t nat -A PREROUTING -m multiport -p tcp --dport 25,53,80,81,110,444,8080,8009,3306 -j DNAT --to 172.23.23.2
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.23.23.2:80
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.23.23.2:443
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 172.23.23.2:53
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p udp -m udp --dport 53 -j DNAT --to-destination 172.23.23.2:53
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 222 -j DNAT --to-destination 172.23.23.2:222
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 444 -j DNAT --to-destination 172.23.23.2:444
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.23.23.2:8080
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 8009 -j DNAT --to-destination 172.23.23.2:8009
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 172.23.23.2:3306
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 444 -j DNAT --to-destination 172.23.23.2:444
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 172.23.23.2:143
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.23.23.2:110
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 172.23.23.2:81
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 172.23.23.2:25
iptables -t nat -A PREROUTING -d ippublica -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.23.23.2:21
#iptables -t nat -A POSTROUTING -s 172.24.24.0/29 -d 172.24.24.0/29 -j SNAT --to-source ippublica


#ACCES LAN TO DMZ
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 80:81 --dport 80 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 80 --dport 80:81 -j ACCEPT
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 444 --dport 444 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 444 --dport 444 -j ACCEPT
#iptables -A FORWARD -s 172.24.24.0/29 -d 172.23.23.2 -p tcp --sport 222 --dport 222 -j ACCEPT
#iptables -A FORWARD -s 172.23.23.2 -d 172.24.24.0/29 -p tcp --sport 222 --dport 222 -j ACCEPT

#Puertos conocidos cerrados
#iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
#iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

---

Oscar Cáceres

con shorewall es mas sencillo
si no lo tienes instalado que esperas

en este portal hay manuales de como instalarlo

yo lo uso y me va 10 puntos