Acceder al servidor web por afuera

Es un problema de enrutamiento del trráfico de re en el PIX.

Para resolver esas situaciones se aconseja tener unos DNS públicos, para
resolver de cara a internet, y unos DNS internos, para resolver desde dentro
de la organización.

Es en esos DNS internos donde tienes creada la zona para el dominio, en tu
caso, nuestraweb.com.ar, y ahí creado el registro HOSTS (A) llamado "www"
apuntando a la IP interna del web server; de esa forma los lcientes internos
acceden correctamente por la IP adecuada, y no por la externa/pública en
internet, ya que de lo contrario tendrás que configurar el PIX para hacer el
enrutamiento adecuado para ello, eso sí, sabiendo que la petición "dará una
vuelta más de lo normal"
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Buenas tardes:
Sigo abusando de este foro, que varias veces me ha ayudado.
La consulta es la siguiente:
Tengo una red vieja, Dominio NT 4.0 y tengo un PIX como firewall.
El pix tiene una DMZ donde está alojado el webserver.
La DMZ que tiene un rango de ip privada del 192.168.8.0 hace NAT hacia
afuera con la IP publica que le dimos a nuestro proveedor de internet
x.x.x.a para que publique nuestra web, www.nuestraweb.com.ar.El pix tbn
hace NAT desde la interface inside (nuestra LAN) hacia la Outside
(Internet) con la ip publica x.x.x.b.
El tema es que desde afuera de la empresa se accede sin problemas, pero
desde adentro aunque las PCs resuelven el nombre www.nuestraweb.com.ar
con la ip pública, no me deja ver la página, pero si lo hace si en el
webbrouser le pongo la ip privada del webserver que es del rango
192.168.8.0.
Una solución rapida es poner en el hosts de las PCs de la red la ip
privada del webserver asociada a la dirección www.nuestraweb.com.ar,
pero tengo como 30 equipos y estimo que se debe poder resolver de
alguna otra forma desde las servidores.

Gracias Javier:
Una pregunta,yo puedo acceder a cualquier sitio de internet desde mis
PCs, y estoy haciendo NAT con una Ip diferente de la del webserver, si
fuera un problema de eunrutamiento en el PIX, yo descartaba problema de
enrutamiento , ya que imaginé que el PIX recibe la consulta como si
fuera de un equipo cualquiera de la web, de hecho tengo un regla en el
PIX permitiendo trafico http desde any a la ip externa del web server.
Eso por un lado , ahora instalé en mi PDC el servicio de DNS, pero el
mismo servicio resuelve que www.nuestraweb.com.ar va con la IP pública
y cuando intento forzar creando un HOSTS (A) llamado www asociado a la
IP privada, me deja crearlo pero tira una advertencia de que no se
puedo redireccionar los punteros porque no se encuentra la zona inversa
o algo similar.
Y aunque apunte las PCs a que usen mi server interno como DNS , estas
siguen intentando entrar por afuera.
Sigo en la lucha,,


Javier Inglés [MS MVP] ha escrito:

Es un problema de enrutamiento del trráfico de re en el PIX.

Para resolver esas situaciones se aconseja tener unos DNS públicos, para
resolver de cara a internet, y unos DNS internos, para resolver desde dentro
de la organización.

Es en esos DNS internos donde tienes creada la zona para el dominio, en tu
caso, nuestraweb.com.ar, y ahí creado el registro HOSTS (A) llamado "www"
apuntando a la IP interna del web server; de esa forma los lcientes internos
acceden correctamente por la IP adecuada, y no por la externa/pública en
internet, ya que de lo contrario tendrás que configurar el PIX para hacer el
enrutamiento adecuado para ello, eso sí, sabiendo que la petición "dará una
vuelta más de lo normal"
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Buenas tardes:
Sigo abusando de este foro, que varias veces me ha ayudado.
La consulta es la siguiente:
Tengo una red vieja, Dominio NT 4.0 y tengo un PIX como firewall.
El pix tiene una DMZ donde está alojado el webserver.
La DMZ que tiene un rango de ip privada del 192.168.8.0 hace NAT hacia
afuera con la IP publica que le dimos a nuestro proveedor de internet
x.x.x.a para que publique nuestra web, www.nuestraweb.com.ar.El pix tbn
hace NAT desde la interface inside (nuestra LAN) hacia la Outside
(Internet) con la ip publica x.x.x.b.
El tema es que desde afuera de la empresa se accede sin problemas, pero
desde adentro aunque las PCs resuelven el nombre www.nuestraweb.com.ar
con la ip pública, no me deja ver la página, pero si lo hace si en el
webbrouser le pongo la ip privada del webserver que es del rango
192.168.8.0.
Una solución rapida es poner en el hosts de las PCs de la red la ip
privada del webserver asociada a la dirección www.nuestraweb.com.ar,
pero tengo como 30 equipos y estimo que se debe poder resolver de
alguna otra forma desde las servidores.

Error de concepto; tú puedes acceder a internet desde cualquier PC porque el
PIX te da la salida; pero tu servidor web no está en internet como tal, está
en tu red.

Un equipo de tu red resuelve la dirección de tu server "www" y resuelve a la
IP pública que gestiona el PIX; eso ya está mal, ya que desde tu red
deberías estar resolviendo a la IP interna, no a la pública, y conectar por
dihca IP interna

Para ahcer eso, necesitas, como te digo, tener unos DNSs internos y otros
externos; los externos resuelven el nombre por la IP pública como debe ser;
los internos por la IP privada. A parte, como es recomendable, deberías
crear el registro PTR asociado.

al resolver por la IP interna el PIX les redirecciona si es preciso, pero si
el PIX tiene que sacar el paquete por la pública y devolverlo ahí tienes un
problema de enrutamiento, ya que el cliente intenta conectar al servidor web
por la pública desde dentro, y dudo que el PIX tenga una regla/ruta para
permitir el enrutamiento/acceso desde tu red privada por la pública
igualmente.

Te aconsejo leas antes un poco sonbre cómo funciona DNS para entender cómo
se hacen las peticiones y cómo se resuelve a los clientes los nombres FQDN.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Gracias Javier:
Una pregunta,yo puedo acceder a cualquier sitio de internet desde mis
PCs, y estoy haciendo NAT con una Ip diferente de la del webserver, si
fuera un problema de eunrutamiento en el PIX, yo descartaba problema de
enrutamiento , ya que imaginé que el PIX recibe la consulta como si
fuera de un equipo cualquiera de la web, de hecho tengo un regla en el
PIX permitiendo trafico http desde any a la ip externa del web server.
Eso por un lado , ahora instalé en mi PDC el servicio de DNS, pero el
mismo servicio resuelve que www.nuestraweb.com.ar va con la IP pública
y cuando intento forzar creando un HOSTS (A) llamado www asociado a la
IP privada, me deja crearlo pero tira una advertencia de que no se
puedo redireccionar los punteros porque no se encuentra la zona inversa
o algo similar.
Y aunque apunte las PCs a que usen mi server interno como DNS , estas
siguen intentando entrar por afuera.
Sigo en la lucha,,


Javier Inglés [MS MVP] ha escrito:

Es un problema de enrutamiento del trráfico de re en el PIX.

Para resolver esas situaciones se aconseja tener unos DNS públicos, para
resolver de cara a internet, y unos DNS internos, para resolver desde
dentro
de la organización.

Es en esos DNS internos donde tienes creada la zona para el dominio, en tu
caso, nuestraweb.com.ar, y ahí creado el registro HOSTS (A) llamado "www"
apuntando a la IP interna del web server; de esa forma los lcientes
internos
acceden correctamente por la IP adecuada, y no por la externa/pública en
internet, ya que de lo contrario tendrás que configurar el PIX para hacer
el
enrutamiento adecuado para ello, eso sí, sabiendo que la petición "dará
una
vuelta más de lo normal"
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Buenas tardes:
Sigo abusando de este foro, que varias veces me ha ayudado.
La consulta es la siguiente:
Tengo una red vieja, Dominio NT 4.0 y tengo un PIX como firewall.
El pix tiene una DMZ donde está alojado el webserver.
La DMZ que tiene un rango de ip privada del 192.168.8.0 hace NAT hacia
afuera con la IP publica que le dimos a nuestro proveedor de internet
x.x.x.a para que publique nuestra web, www.nuestraweb.com.ar.El pix tbn
hace NAT desde la interface inside (nuestra LAN) hacia la Outside
(Internet) con la ip publica x.x.x.b.
El tema es que desde afuera de la empresa se accede sin problemas, pero
desde adentro aunque las PCs resuelven el nombre www.nuestraweb.com.ar
con la ip pública, no me deja ver la página, pero si lo hace si en el
webbrouser le pongo la ip privada del webserver que es del rango
192.168.8.0.
Una solución rapida es poner en el hosts de las PCs de la red la ip
privada del webserver asociada a la dirección www.nuestraweb.com.ar,
pero tengo como 30 equipos y estimo que se debe poder resolver de
alguna otra forma desde las servidores.

bien Javier,, me queda claro lo del ruteo del PIX.
El tema que no logro resolver es el siguiente:
Te doy los datos de la red para ver si te ayuda:
El sitio web seria www.nuestraweb.com.ar
El dominio NT de mi red se llama "nuestra" a secas ya que no es un
dominio de Active Directory.
Para que mis PCs de red interna puedan resolver DNS tengo que
configurar reenviadores en mi servidor DNS , cierto?
Bien ,, ahora , cuando configuro como reenviadores los dns de mi ISP,
obviamente empieza a resolver el nombre www.nuestraweb.com.ar con la ip
publica.
No se como decirle a mi DNS interno que no le haga caso a los dns de mi
ISP solo con www.nuestraweb.com.ar y que la ip para
www.nuestraweb.com.ar sea la interna.
Perdon por la ignorancia pero he leido la base de conocimientos y no
encuentro como hacerlo.Igualmente sigo buscando info.
Graciass

Javier Inglés [MS MVP] ha escrito:

Error de concepto; tú puedes acceder a internet desde cualquier PC porque el
PIX te da la salida; pero tu servidor web no está en internet como tal, está
en tu red.

Un equipo de tu red resuelve la dirección de tu server "www" y resuelve a la
IP pública que gestiona el PIX; eso ya está mal, ya que desde tu red
deberías estar resolviendo a la IP interna, no a la pública, y conectar por
dihca IP interna

Para ahcer eso, necesitas, como te digo, tener unos DNSs internos y otros
externos; los externos resuelven el nombre por la IP pública como debe ser;
los internos por la IP privada. A parte, como es recomendable, deberías
crear el registro PTR asociado.

al resolver por la IP interna el PIX les redirecciona si es preciso, pero si
el PIX tiene que sacar el paquete por la pública y devolverlo ahí tienes un
problema de enrutamiento, ya que el cliente intenta conectar al servidor web
por la pública desde dentro, y dudo que el PIX tenga una regla/ruta para
permitir el enrutamiento/acceso desde tu red privada por la pública
igualmente.

Te aconsejo leas antes un poco sonbre cómo funciona DNS para entender cómo
se hacen las peticiones y cómo se resuelve a los clientes los nombres FQDN.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Gracias Javier:
Una pregunta,yo puedo acceder a cualquier sitio de internet desde mis
PCs, y estoy haciendo NAT con una Ip diferente de la del webserver, si
fuera un problema de eunrutamiento en el PIX, yo descartaba problema de
enrutamiento , ya que imaginé que el PIX recibe la consulta como si
fuera de un equipo cualquiera de la web, de hecho tengo un regla en el
PIX permitiendo trafico http desde any a la ip externa del web server.
Eso por un lado , ahora instalé en mi PDC el servicio de DNS, pero el
mismo servicio resuelve que www.nuestraweb.com.ar va con la IP pública
y cuando intento forzar creando un HOSTS (A) llamado www asociado a la
IP privada, me deja crearlo pero tira una advertencia de que no se
puedo redireccionar los punteros porque no se encuentra la zona inversa
o algo similar.
Y aunque apunte las PCs a que usen mi server interno como DNS , estas
siguen intentando entrar por afuera.
Sigo en la lucha,,


Javier Inglés [MS MVP] ha escrito:

> Es un problema de enrutamiento del trráfico de re en el PIX.
>
> Para resolver esas situaciones se aconseja tener unos DNS públicos, para
> resolver de cara a internet, y unos DNS internos, para resolver desde
> dentro
> de la organización.
>
> Es en esos DNS internos donde tienes creada la zona para el dominio, en tu
> caso, nuestraweb.com.ar, y ahí creado el registro HOSTS (A) llamado "www"
> apuntando a la IP interna del web server; de esa forma los lcientes
> internos
> acceden correctamente por la IP adecuada, y no por la externa/pública en
> internet, ya que de lo contrario tendrás que configurar el PIX para hacer
> el
> enrutamiento adecuado para ello, eso sí, sabiendo que la petición "dará
> una
> vuelta más de lo normal"
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "Fpgcorreo" escribió en el mensaje
> news:
> Buenas tardes:
> Sigo abusando de este foro, que varias veces me ha ayudado.
> La consulta es la siguiente:
> Tengo una red vieja, Dominio NT 4.0 y tengo un PIX como firewall.
> El pix tiene una DMZ donde está alojado el webserver.
> La DMZ que tiene un rango de ip privada del 192.168.8.0 hace NAT hacia
> afuera con la IP publica que le dimos a nuestro proveedor de internet
> x.x.x.a para que publique nuestra web, www.nuestraweb.com.ar.El pix tbn
> hace NAT desde la interface inside (nuestra LAN) hacia la Outside
> (Internet) con la ip publica x.x.x.b.
> El tema es que desde afuera de la empresa se accede sin problemas, pero
> desde adentro aunque las PCs resuelven el nombre www.nuestraweb.com.ar
> con la ip pública, no me deja ver la página, pero si lo hace si en el
> webbrouser le pongo la ip privada del webserver que es del rango
> 192.168.8.0.
> Una solución rapida es poner en el hosts de las PCs de la red la ip
> privada del webserver asociada a la dirección www.nuestraweb.com.ar,
> pero tengo como 30 equipos y estimo que se debe poder resolver de
> alguna otra forma desde las servidores.

En tu server DNS interno, a parte de dejar el forarder, debes crearte la
zona "nuestraweb.com.ar"

Luego, dentro de dicha zona, crear el registro de tipo HOSTS (A) llamado
"www" apuntando a la IP intena del server, no a la externa.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
bien Javier,, me queda claro lo del ruteo del PIX.
El tema que no logro resolver es el siguiente:
Te doy los datos de la red para ver si te ayuda:
El sitio web seria www.nuestraweb.com.ar
El dominio NT de mi red se llama "nuestra" a secas ya que no es un
dominio de Active Directory.
Para que mis PCs de red interna puedan resolver DNS tengo que
configurar reenviadores en mi servidor DNS , cierto?
Bien ,, ahora , cuando configuro como reenviadores los dns de mi ISP,
obviamente empieza a resolver el nombre www.nuestraweb.com.ar con la ip
publica.
No se como decirle a mi DNS interno que no le haga caso a los dns de mi
ISP solo con www.nuestraweb.com.ar y que la ip para
www.nuestraweb.com.ar sea la interna.
Perdon por la ignorancia pero he leido la base de conocimientos y no
encuentro como hacerlo.Igualmente sigo buscando info.
Graciass

Javier Inglés [MS MVP] ha escrito:

Error de concepto; tú puedes acceder a internet desde cualquier PC porque
el
PIX te da la salida; pero tu servidor web no está en internet como tal,
está
en tu red.

Un equipo de tu red resuelve la dirección de tu server "www" y resuelve a
la
IP pública que gestiona el PIX; eso ya está mal, ya que desde tu red
deberías estar resolviendo a la IP interna, no a la pública, y conectar
por
dihca IP interna

Para ahcer eso, necesitas, como te digo, tener unos DNSs internos y otros
externos; los externos resuelven el nombre por la IP pública como debe
ser;
los internos por la IP privada. A parte, como es recomendable, deberías
crear el registro PTR asociado.

al resolver por la IP interna el PIX les redirecciona si es preciso, pero
si
el PIX tiene que sacar el paquete por la pública y devolverlo ahí tienes
un
problema de enrutamiento, ya que el cliente intenta conectar al servidor
web
por la pública desde dentro, y dudo que el PIX tenga una regla/ruta para
permitir el enrutamiento/acceso desde tu red privada por la pública
igualmente.

Te aconsejo leas antes un poco sonbre cómo funciona DNS para entender cómo
se hacen las peticiones y cómo se resuelve a los clientes los nombres
FQDN.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Fpgcorreo" escribió en el mensaje
news:
Gracias Javier:
Una pregunta,yo puedo acceder a cualquier sitio de internet desde mis
PCs, y estoy haciendo NAT con una Ip diferente de la del webserver, si
fuera un problema de eunrutamiento en el PIX, yo descartaba problema de
enrutamiento , ya que imaginé que el PIX recibe la consulta como si
fuera de un equipo cualquiera de la web, de hecho tengo un regla en el
PIX permitiendo trafico http desde any a la ip externa del web server.
Eso por un lado , ahora instalé en mi PDC el servicio de DNS, pero el
mismo servicio resuelve que www.nuestraweb.com.ar va con la IP pública
y cuando intento forzar creando un HOSTS (A) llamado www asociado a la
IP privada, me deja crearlo pero tira una advertencia de que no se
puedo redireccionar los punteros porque no se encuentra la zona inversa
o algo similar.
Y aunque apunte las PCs a que usen mi server interno como DNS , estas
siguen intentando entrar por afuera.
Sigo en la lucha,,


Javier Inglés [MS MVP] ha escrito:

> Es un problema de enrutamiento del trráfico de re en el PIX.
>
> Para resolver esas situaciones se aconseja tener unos DNS públicos, para
> resolver de cara a internet, y unos DNS internos, para resolver desde
> dentro
> de la organización.
>
> Es en esos DNS internos donde tienes creada la zona para el dominio, en
> tu
> caso, nuestraweb.com.ar, y ahí creado el registro HOSTS (A) llamado
> "www"
> apuntando a la IP interna del web server; de esa forma los lcientes
> internos
> acceden correctamente por la IP adecuada, y no por la externa/pública en
> internet, ya que de lo contrario tendrás que configurar el PIX para
> hacer
> el
> enrutamiento adecuado para ello, eso sí, sabiendo que la petición "dará
> una
> vuelta más de lo normal"
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "Fpgcorreo" escribió en el mensaje
> news:
> Buenas tardes:
> Sigo abusando de este foro, que varias veces me ha ayudado.
> La consulta es la siguiente:
> Tengo una red vieja, Dominio NT 4.0 y tengo un PIX como firewall.
> El pix tiene una DMZ donde está alojado el webserver.
> La DMZ que tiene un rango de ip privada del 192.168.8.0 hace NAT hacia
> afuera con la IP publica que le dimos a nuestro proveedor de internet
> x.x.x.a para que publique nuestra web, www.nuestraweb.com.ar.El pix tbn
> hace NAT desde la interface inside (nuestra LAN) hacia la Outside
> (Internet) con la ip publica x.x.x.b.
> El tema es que desde afuera de la empresa se accede sin problemas, pero
> desde adentro aunque las PCs resuelven el nombre www.nuestraweb.com.ar
> con la ip pública, no me deja ver la página, pero si lo hace si en el
> webbrouser le pongo la ip privada del webserver que es del rango
> 192.168.8.0.
> Una solución rapida es poner en el hosts de las PCs de la red la ip
> privada del webserver asociada a la dirección www.nuestraweb.com.ar,
> pero tengo como 30 equipos y estimo que se debe poder resolver de
> alguna otra forma desde las servidores.