Firewall não encherga DMZ [RESOLVIDO]

1. Firewall não encherga DMZ [RESOLVIDO]

mschmidt
(usa CentOS)

Enviado em 02/03/2013 - 22:33h

Seguinte... preciso de uma ajudinha com iptables. Tenho um firewall com 3 placas de rede, diversos IPs validos (200.200.200.2xx) levantados em aliases na placa externa. O iptables faz o direcionamento desses IPs para IPs não validos (172.16.0.x) da DMZ. Tudo esta funcionando perfeitamente bem; os servidores da DMZ funcionando a vários dias sem nenhum problema, bem como a rede interna. Quando vistos pela internet e pela rede interna as configurações da DMZ estão funcionando muito bem, mas quando visto pelo próprio firewall, a coisa não funciona adequadamente. Bom, para explicar melhor, quando coloco o nmap para escanear os servidores apartir da internet e pela rede interna, as portas coincidem perfeitamente, mas quando escaneio algum IP 200.200.200.20x que é uma das aliases do servidor, o nmap me retorna as mesmas portas do próprio firewall, ou seja, o redirecionamento apartir dele mesmo não funciona. Alguém tem alguma ideia de como fazer para que ele mesmo possa enxergar os servidores como deve ser, ou pelo menos um deles? Preciso disso para que os e-mails enviados pelo firewall sejam recebidos pelo meu servidor de e-mails, para que eu não precise ocupar um e-mail externo.
Eth2= link internet
Eth1= DMZ
Eth0= rede interna

0 0

Quote

2. MELHOR RESPOSTA

lejoso
(usa Debian)

Enviado em 04/03/2013 - 19:40h

Se for somente por causa do envio de e-mails, a melhor opção é a que o jocajuni informou, configurando no programa que envia e-mails, o smtp direto para o ip do host da Dmz.
Agora se você quer saber o por que não funciona tecnicamente os redirecionamentos a partir do firewall é simples.
As regras que você criou de redirecionamento para DMZ estão na chain PREROUTING da tabela nat. Porém, por se tratar de um pacote originado no firewall, o mesmo não passa por essa chain, e sim pela chain OUTPUT da tabela nat.
Se quiser testar, cria a mesma regra que você criou na PREROUTING para OUTPUT e roda o nmap ou faz o teste do envio dos e-mails (mantendo o endereço do server smtp atual).

Att,

Lejoso

0 0

Quote

3. Re: Firewall não encherga DMZ [RESOLVIDO]

jocajuni
(usa Debian)

Enviado em 04/03/2013 - 19:07h

Porque no firewall vc ao invez de colocar o ip externo do email vc ja nao coloca o ip do servidor de email DMZ

exemplo se seu servidor chama smtp.meudominio.com.br que aponta para o ip 200.200.200.x

vai no seu arquivo /etc/hosts e coloca
172.16.0.4 smtp.meudominio.com.br

ou no programa que envia email do seu firewall vc coloca o ip da dmz direto na configuracao do smtp

[]s
Altemir Braz Dantas Junior
Jocajuni

0 0

Quote

4. Re: Firewall não encherga DMZ [RESOLVIDO]

mschmidt
(usa CentOS)

Enviado em 06/03/2013 - 02:13h

Pois é... o arquivo de hosts foi a primeira coisa que pensei. Ja havia testado sem sucesso. Meu arquivo host.conf esta assim "order hosts,bind multi on". Ja, setar o host da DMZ diretamente no Postfix(nesse caso), não sei exatamente onde que coloco, nem tinha passado pela minha cabeça. Mas a regra iptables -A OUTPUT -t nat -d 200.200.200.200 -j DNAT --to 172.16.0.104 funcionou muito bem, consegui enviar e-mails. O engraçado é que no escaneamento com o nmap ele me retorna todas as portas filtradas. Será que o firewall esta recebendo os pacotes corretamente do servidor de e-mails ?? Muito obrigado pelo auxilio.

0 0

Quote