NAT en red local

Forums: 

Cómo están amigos, tengo algunas dudas respecto al NAT que se puede hacer con iptables. He trabajado con DNAT y SNAT sin problemas hasta ahora pero se me presentó un requerimiento especial y algo no funciona bien. Ojalá puedan ayudarme con una guía.

Les comento.

Tengo un firewall con iptables a través del cual publico un servidor de correo haiendo por supuesto DNAT hacia la LAN. Gran parte de los usuarios del servidor de correo (unos 40) necesitan conectarse al mismo (vía Outlook) tanto desde la red local, como desde Internet., pero sin tener que cambiar la dirección IP del servidor SMTP en su configuración de Outlook.
Antes, como el servidor de correo estaba tambien en la maquina que funcionaba como firewall no había problema pues en la configuración de outlook estaba la IP publica.
Ahora mi regla de DNAT funciona excelente si la gente se conecta al correo desde afuera apuntando a la pública, pero si lo hacen desde la LAN, asimismo apuntando a la pública no funca.

Les agradecería mucho si pueden recomendarme al respecto.

Saludos cordiales.

A mi parecer podrías más

Imagen de jcyepez

A mi parecer podrías más bien configurar los equipo para que en lugar de apuntar a la ip, apunten a mail.empresa.com. De esta manera cuando estén afuera, como utilizarán un DNS externo al tuyo, sabrán cual es la ip pública de tu empresa y descargarán el correo sin problemas.

Para cuando estén dentro de la empresa implementaría entonces en mi dns para que mail.empresa.com devuelva la ip interna del equipo y asunto arreglado.

La opción de hacer DNAT no la veo lógica pues necesitarías que los paquetes salgan hacia internet y vuelvan a entrar hacia tu red. Un poco raro este esquema.

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

Muchas Gracias Juan Carlos

Imagen de lenchanteur

Muchas Gracias Juan Carlos pues sip, tienes razón. Fue lo primero que se planteó. El asunto es que esta organización utiliza un servidor intermediario en Internet que checa los mensajes por virus y todo el asunto, el registro MX de su dominio apunta al server intermediario y este lo reenvía luego del chequeo a su red. El encargado de esto no está muy convencido de asignarle un nombre de host a la IP pública del firewall para evitar así que se le ubique fácilmente.

Saludos,

José Antonio L'enchanteur

hola josé antonio, la idea

Imagen de Epe

hola josé antonio, la idea de jcyepez es correcta.. mira, estudia los views en DNS.. puedes crear vistas y logras así que tu servidor sea visible para los usuarios de una vista.. mientras que para los demás la vista que responde dará la IP del externo..

porque estás queriendo ahora hacer un dnat para los que están dentro del nat, y no me parece muy fáicl.. digo, al menos yo lo haría con views. Así hice hace unos 3 años con un ministerio acá en Ecuador y siguen usando los views correctamente.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

hola, Mira este tutorial,

Imagen de elgabo

hola,

Mira este tutorial, http://security.maruhn.com/iptables-tutorial/x9305.html
Justo en la mitad te explican lo que creo que esta pasando. Ojo, ellos recomiendan justamente lo que dicen jcyepez y epe, utiliza DNS u otra opcion levantar una DMZ.

Suerte

Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.