ayuda con nat en shorewall

Forums: 

Saludos a todos,

Estoy configurando un servidor proxy transparente y detras de este tengo un servidor web, utilizo shorewall para configurar reglas de iptables. Sin embargo no puedo acceder al servidor web.

Otros datos: Utilizo dos interfaces de red, la que sale a internet es 192.168.0.29 y la local es 172.16.0.1. Utilizo estas ips para probar funcionamiento y despues asignar las ips apropiadas. Bueno, al mismo tiempo que estoy aprendiendo.

Las reglas en el el archivo rules son las siguientes:

#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
REDIRECT loc 8080 tcp 80
ACCEPT net fw tcp 80,10000,22,8888
ACCEPT loc net tcp 20,21,25,443
ACCEPT loc net tcp 25,465,587
ACCEPT loc net tcp 110,143,993,995
ACCEPT loc net tcp 53,123
ACCEPT loc net udp 53,123
ACCEPT loc fw tcp 22,53,80,10000
ACCEPT loc fw udp 53

DNAT net loc:172.16.0.92:80 tcp 8888

Bueno, al parecer esta bien, sin embargo cuando en el firefox pongo: http://192.168.0.29:8888 el firefox dice:

Firefox can't establish a connection to the server at 192.168.0.29:8888.

Gracias por sus comentarios, pues debo implementar este servidor en la empresa donde trabajo.

"Estoy configurando un

Imagen de eliche

"Estoy configurando un servidor proxy transparente y detras de este tengo un servidor web, utilizo shorewall para configurar reglas de iptables. Sin embargo no puedo acceder al servidor web."

Además un gráfico también ayudaría, así se entiende mejor la situación ;)

Ponlo y veamos como mejora la cosa. De lo que tienes, me da a pensar que hacer DNAT está incorrecto puesto que estar trabajando en tu LAN, lo que bastaría es permitir el acceso desde la LAN al FIREWALL (shorewall) hacia el puerto 8888, pero bueno son impresiones, mejora tu pregunta y luego a ver que se puede hacer.

Ing. Eliécer Tatés Montenegro
Neovoice
VoIP & IT Consulting
e-mail: eliecer.tates@neovoice.co / elitatmon@gmail.com

la topologia es la siguiente:

Gracias Eliécer.

la topologia es mas o menos asi.

La idea es la siguiente... detrás del proxy se necesita tener 3 servidores web, para diversos propósitos, un linux centos y dos windows 2003 server, obviamente todos ocupan el puerto 80, entonces la idea es que se acceda a estos desde internet utilizando puertos distintos del firewall y este los traduzca a las ip internas en el puerto 80 de cada uno.

El firewall que estoy configurando funciona, pero no hace nat, bueno me sale el mensaje que mencione al principio:

The connection has timed out en el firefox.

ya leí el tutorial que me sugirió The One, y lo que no hice fue configurar en el archivo /etc/sysctl.cfg y porner 1 en "net.ipv4.ip_forward=1", pero aun asi no funciona.

Otra cosa que probe fue que haciendo que el firewall tambien acepte el puerto que quiero utilizar desde la red local, pero nop..

Adjunto la configuracion tal como la tengo hasta ahora.

#SECTION ESTABLISHED
SECTION RELATED
SECTION NEW
#
#REDIRECCIONAR LAS CONEXIONES HTTP AL PUERTO 8080 DEL PROXY
REDIRECT loc 8080 tcp 80
#
#PERMITIR LA CONEXION AL FIREWALL EN LOS SIGUIENTES PUERTOS
ACCEPT net fw tcp 10000,80,20,21,8888,53,161,22
#
ACCEPT loc net tcp 20,21,25,443
ACCEPT loc net tcp 25,465,587
ACCEPT loc net tcp 110,143,993,995
ACCEPT loc net tcp 53,123
ACCEPT loc net udp 53,123
ACCEPT loc fw tcp 22,53,80,10000
ACCEPT loc fw udp 53
ACCEPT loc fw tcp 8888
#
#CONEXIONES DESDE EL FIREWALL
ACCEPT fw loc:192.168.0.250 tcp 3306
ACCEPT fw net tcp 80
ACCEPT fw loc tcp 80
#
#ACEPTAR CONEXIONES DNS DEL FIREWALL A INTERNET
DNS/ACCEPT $FW net
#
#PERMITIR PING DESDE LA RED LOCAL
Ping/ACCEPT loc $FW
#
#PERMITIR PING DESDE LA RED LOCAL HACIA INTERNET
Ping/ACCEPT loc net
#
#DENEGAR PING DESDE INTERNET HACIA FIREWALL
Ping/REJECT net $FW
#
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
#
#CONFIGURACIONES DNAT
DNAT net loc:172.16.0.92:80 tcp 8888
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

gracias nuevamente por su ayuda,,, la verdad ya no se que mas hacer...