Servidor Linux con una ip publica debe permitir salir al exchange server

Forums: 

:) Hola a todos necesito de su ayuda, tengo la siguiente pelicula en mi sala de servidores, tengo un servidor linux con una ip publica x.x.x.x y una ip privada y.y.y.y que funciona como proxy, servidor de correo, firewall, tengo otro equipo que tiene instalado exchange server 2003 con otra ip publica x.x.x.z y una ip privada y.y.y.a, en este equipo esta configurado y trabajando el nuevo domino de la compañia, en total tenemos dos dominios, tengo que hacer una reestructuracion del area por orden de los jefes y ahora tengo que eliminar la ip publica del exchange(se mantiene la misma ip privada) y eliminar el dominio que tengo en el linux, debo mantener operativo al exchange con el dominio que ahi esta configurado pero debo hacer que el flujo de correo desde el exchange al exterior y del exterior al exchange pase por mi servidor linux el cual va a funcionar solo como firewall ya que me han pedido que levante un isa server para la navegacion, el cual aun no esta listo, por el momento mantengo tambien el proxy, el dominio sigue apuntando a la publica del exchange que desactivo y el dominio sobre el linux lo mantengo aun activo hasta que pase la transicion del cambio de servidor de correo.
:jawdrop: Que debo configurar en mi linux para cumplir la nueva situacion?
Se que debo usar iptables, nat y dnat(pero no tengo muy claro las instrucciones que debo usar), pero como hago para que mi linux con ip publica x.x.x.x sea tambien visto desde el mundo con la ip y.y.y.y (ojo, no existe la posibilidad de ponerle otra tarjeta de red al linux).
Espero no confundirlos y haberme explicado lo mejor posible, necesito su ayuda para ver como armo en el menor tiempo posible esta situacion.

Muchas gracias de Antemano

Vaya son ya varios casos q

Imagen de falcom

Vaya son ya varios casos q usan varios MTA uno en windoze y otro en GNU/linux, me parece particularmente raro desperdiciar valiosos recursos de hardware pudiendo tener todo bajo linux y gratuito, pero a veces asi resulta.
Tu pregunta es muy compleja de responder x q implica muchas situaciones, la 1era no es recomendable tener corriendo varios servicios en un mismo server (mail+proxy, etc) si ya se problemas de presupuesto nos impiden pero en lo posible no se recomienda.
Para q levantar ISa si vas a tener iptables como firewall, mas q suficiente para bloquear accesos desde afuera, te digo mi experiencia con ISA (terrible) es un softwatre privativo pesadisimo en un maquinon y no andaba consume muchos recursos y bastante complejo en las parte de vlans, x eso lo bote y use GNU/linux, sobre las ventajas podriamos hablar x dias enteros.
Bueno siguiendo con tu caso debes checar bien tu configuracion de iptables y de puertos, te recomiendo empezar con un DROP x defecto y empezar a abrir segun vayas requiendo, es el mejor firewall. Tu proxy deberia hacer NAT y tener 2 NIcs y en tu windoze apuntar como gateway al proxy.
si quieres puedes postear tu config del script para darte una mano x q aqui hablamos genericamente, bueno espero haber dado un hilo
salu2
Bueno aca hay unos links de pronto te sirve
http://www.buanzo.com.ar/files/proxy_transparente.pdf
http://www.ecualug.org/?q=2007/02/13/forums/proxy_transparente
http://www.ecualug.org/?q=2007/03/01/comos/instalaci_n_de_servidor_firewall_con_proxys_transparentes

Cita: pero como hago para

Imagen de acl

[quote]pero como hago para que mi linux con ip publica x.x.x.x sea tambien visto desde el mundo con la ip y.y.y.y [/quote]

¿A qué te refieres con esta frase? Las ips privadas no son ruteables y no deben aparecen nunca en una comunicación normal.

Aparte de eso, vas por buen camino, mira la documentación y tutoriales ya disponibles de iptables. Básicamente tienes que poner una regla de DNAT y otra de SNAT con iptables para que sirvas como NAT del exchange. Sin embargo, como dice falcom arriba, vas a tener problemas al hacer el cambio (uno de ellos por ejemplo va a ser no poder enviar correos a hotmail).

Yo personalmente te recomiendo no permitir al exchange hablar con los hosts de internet (así sea con un NAT linux de por medio). Sería mejor poner un relay de correo linux con sendmail/postfix/exim/qmail+spamassassin qeu sirva de intermediario y filtro.
--
haber != a ver
ha != a

DNAT y SNAT

Gracias falcom y acl por darme una idea con mi problema, adjunto las lineas que puse en mi firewall pero aun no he podido probar si funciona o no, espero sus comentarios, la ip publica y.y.y.y la puse como ip virtual en la misma eth0 donde tengo la ip publica x.x.x.x, asumiendo que cuando llegue algun correo a la publica y.y.y.y que es donde apunta el dominio mi firewall la reciba y la envie a la ip privada.

/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 \-p tcp --dport 110 -j DNAT --to 192.168.0.86:110
/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 \-p tcp --dport 25 -j DNAT --to 192.168.0.86:25
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to y.y.y.y

Si estan mal aplicadas las reglas, porfa corregirlas, estoy un poco oxidado

A la espera de sus comentarios, de antemano les quedo muy agradecido

saludos

poner un relay de correo linux con sendmail/postfix/exim/qmail+s

Hola Acl te cuento que aun no logro pasar el exchange por el linux aunque creo falta crear un conector smtp en el exchange, pero voy hacer pruebas con el vmware antes de probarlo en mi lan, me gusto mucho tu recomendacion de hacer un relay de correo en el linux y que el exchange lo reciba limpio, me puedes yaudar con tips y documentacion para armar este relay...

Saludos

De Antemano muchas gracias

Me parece que deberías

Me parece que deberías hacer un cambio en el dns o solicitar con tu proveedor el mismo si tu no manejas el dns de tu empresa.
De lo que entendí en el enunciado dices que tienes un server linux con una ip pública, digamos que sea la 200.200.200.200 y que esta apuntando a un dominio "example.com", al mismo tiempo tienes una ip privada supongamos igualmente que es la 192.168.1.86, este está actuando como mail server y firewall.

Por otro lado ahora tienes un nuevo dominio que es "nuevodominio.com" que esta apuntando a una ip real diferente 201.201.201.201 con otra ip privada y para rematar tienes exchange. Tu quieres que desde ahora en adelante se envie y reciba correo pero con el nuevo dominio, y descartar el dominio anterior que tenias corriendo bajo linux.

Pues bien, yo lo que haría es eliminar la ip pública del exchange y esa colocarle al linux es decir (201.201.201.201), asegurarme que esta ip tenga bien configurado su zona reversa en el dns, con eso me aseguro que todo el correo del exterior al menos va ha llegar a mi linux, después en el linux a mas de configurarlo como firewall lo configuraría como mail gateway donde correo que llegue del exterior sea filtrado con un sistema antivirus como puede ser clamav y antispam como spamassassin y pasarlo al exchange limpiesito para que este no se queje de virus ni nada.
La otra es no hacer un mail gateway y solo dejarle como firewall configurando iptables con las respectivas reglas de PREROUTING para la publicación de owa y todas esas bainas.
En todo caso es la solución que propuso anteriormente ACL.

EN el caso de las reglas que pusiste al parecer estan bien aunque yo le aumentaria la opción -d (ip destino) --dport lo que sea para hacer el DNAT

Bueno espero que este comentario sea un aporte.

Saludos,

la mejor administracion de linux iptables

Imagen de qbejarano

la mejor administracion de linux iptables es utilizar firewallbuilder www.fwbuilder.org, es una herramienta casi logica que te permite atraves de un windoze controlar iptbles en linux, es simplemente fantastico
Saludos
si necesitas ayuda en configurar fwbuilder hasmelo conocer

Eso de: Cita: la mejor

Imagen de deathUser

Eso de:
[quote]la mejor administracion de linux iptables es utilizar firewallbuilder[/quote]
Quién lo dice ...???
Hay algún estudio que respalde dicha información, o se trata de tu opinión muy personal ...???

bye
:)

el mismo problema

hola a todos
hace tiempo que vengo siguiendo los comentarios y alas ayudas que aqui se dan porque me parecen interesante y muchas veces hasta a mi me resuelven problemas ahora me decido a registrarme e incluir una duda que tengo

resulta que yo administro un nodo central en los que tengo ya corriendo varios servicios
basicamente los servidores mejores los tengo corriendo Centos 5 y me va muy bien poseo varias ip publicas que compramos para dar servicios al exterior y mi duda es la siquiente

tengo un servidor linux con la ip 200.200.200.200 en el que tengo montado el proxy y uno en win con la ip 200.200.200.201 en el que tengo el correo ahora a mi jefe se le ocurrio la idea por seguridad de solo dejar una de esas ip para el exterior anteriormente el administrador que estaba lo tenia asi es decir el ponia en el proxy la ip con la que estaba registrado el dominio y el mx de correo y no se como enrutaba esos correos para la pc con win en la que tenia ip privada y era visible solo desde la lan
si alguien tiene alguna idea de como hacer esto por favor hagamelo saber ya he buscado hasta debajo de la tierra y no encuentro docimentacion sobre esto alguien me sugirio el uso de cluster pero me parece que esa no es la solucion que busco
saludos