ok, thank you for the info, now could this be fine just to implement three servers using ftp, web and mail services behind a ubuntu box firewall?<br><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to
<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.2</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">
10.0.0.3</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.4</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to
<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.2</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">
10.0.0.3</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.4</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to
<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.2</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">
10.0.0.3</a><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">10.0.0.4</a><br><br>and do i have to implement a DNS server just to resolve internal and external requests on my network, using NAT?
<br>i ask this because i got a dynamic Public address and its pointing at <a href="http://myserverdomain.com">myserverdomain.com</a>, <a href="http://myserverdomain.net">myserverdomain.net</a> and <a href="http://myserverdomain.org">
myserverdomain.org</a>.<br>in that case can i do this?<br><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 54 -j DNAT --to<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://10.0.0.2/" target="_blank">
10.0.0.5</a><br><div><span class="gmail_quote"><br>thank you  in advance...<br><br>Victor.<br><br>On 22/08/07, <b class="gmail_sendername">Rashkae</b> <<a href="mailto:ubuntu@tigershaunt.com">ubuntu@tigershaunt.com</a>
> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Victor Padro wrote:<br>> Hello there!<br>><br>> I am researching some NAT/firewall rules in order to implement a ubuntu
<br>> 6.06LTS box as a firewall/router with only one Public IP...the catch is that<br>> i want to use a couple of servers behind the firewall using web/ftp/mail<br>> services, using their own ports(80, 443, 21, 25, etc.) Can this be done?  i
<br>> read something about DNAT but i am confused if i have to change the servers<br>> ports to something like 1050, 1053, 10023, etc.  any suggestions about t?<br>><br>> thanks.<br>><br>><br><br>yes, this can be done, and no, you don't have to change any of the
<br>server's ports..<br><br>The iptables rules would look something like this:<br><br>/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to<br><a href="http://10.0.0.2">10.0.0.2</a><br><br><br>In this example, my Internal Webserver would be located at 
<a href="http://10.0.0.2">10.0.0.2</a><br><br>If your default FORWARD Policy is to DROP (which it should), you also<br>need to open up a path in FORWARD chain:<br><br>/usr/sbin/iptables -A FORWARD -d <a href="http://10.0.0.2">
10.0.0.2</a> -p tcp --dport 80 -j ACCEPT<br><br>Here's a neat trick.  If you want to completely isolate one of your<br>internal computers from the Internet, you can SNAT the incoming<br>connections, to re-write the source IP as well as the destination IP.
<br>This way, as far as the Internal server is concerned, all incoming<br>requests are coming from the local network, and it need not even have a<br>valid gateway to work.  A consequence of this, however, is the internal<br>
server would not be able to log the IP addresses of incoming connections.<br><br>/usr/sbin/iptables -t nat -A POSTROUTING -d <a href="http://10.0.0.2">10.0.0.2</a> -j SNAT --to <a href="http://10.0.0.1">10.0.0.1</a><br><br>
For any of this to work, you need to enable IP forwarding.  Hopefully,<br>someone on the list can let us know what is the correct Debian way of<br>doing this.. For the sake of completeness, my firewall scrip uses:<br><br>
echo "1" > /proc/sys/net/ipv4/ip_forward<br><br>--<br>ubuntu-users mailing list<br><a href="mailto:ubuntu-users@lists.ubuntu.com">ubuntu-users@lists.ubuntu.com</a><br>Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-users">
https://lists.ubuntu.com/mailman/listinfo/ubuntu-users</a><br></blockquote></div><br>