enchufado
   RSS
#
Networking: ips privadas de cara a Internet (GNU/Linux) 2010-02-01 20:25:56

Imagina que instalas un servidor de máquinas virtuales (es decir, una máquina/host en la cual instalaras una solución de virtualización que soportará N máquinas virtuales/guests) y sólo tienes una ip pública. Imagina también que quieres poder acceder directamente (sin tener que acceder previamente a la máquina con ip pública), desde cualquier máquina conectada a Internet, a los servicios ofrecidos (léase ssh, web, ftp...) por las máquinas virtualizadas/guests.

Si la solución de virtualización no tiene nada previsto para evitar tener que lidiar con esto (con Virtualbox p. ej. te lo puedes ahorrar gracias al vrdp), existen -al menos- un par de posibilidades para poder llevar esto a cabo:

  1. A base de NAT's con iptables:
    • iptables -t nat -I PREROUTING -p tcp -d $IP_SM_PUB --dport 1234 -j DNAT --to-destination $IP_SE_PRIV
    • iptables -t nat -I POSTROUTING -p tcp -d $IP_SE_PRIV --dport 1234 -j SNAT --to-source $IP_SM_PRIV
  2. En base a redirecciones de puertos con ssh. Para conseguir esto, a parte de dejarlo ejecutando en background, se debería configurar login automático (archivos de claves ssh):
    • ssh -L $IP_SM_PUB:1234:$IP_SE_PRIV:22 qat@192.168.227.129 &

A modo de leyenda:

  • $IP_SM_PUB sería la ip (IP) pública (PUB) del servidor master (SM)
  • $IP_SM_PRIV sería la ip (IP) privada (PRIV) del servidor master (SM)
  • $IP_SE_PRIV sería la ip (IP) privada (PRIV) del servidor esclavo (SE). De hecho, éste último solamente tiene esta ip.

El servidor master (SM) hace referencia a la máquina física/virtualizadora/host, y el servidor esclavo (SE) es la máquina virtualizada/guest.

Lo comentado es igualmente aplicable a un entorno ausente de máquinas virtuales. Piensa en el caso de, en lugar de máquinas virtuales, tener todo un parque de máquinas en una LAN en la misma situación: una de cara a Internet con ip pública, y muchas solamente con visibilidad privada (LAN) que necesitan ofrecer servicios de cara a Internet.

Agradecimientos a Albert y a Casas (ellos saben quienes son ;) por permitirme este trasteo y echarme un cable, respectivamente.


Comentarios (3)


Volver al indice

login, admin, form, register