Asegurando acceso LDAP a una única máquina …

24 May

… para que una segunda instalación de odoo pueda usarla para identificar usuarios.

Pues resulta que tengo un mapa de red como el del siguiente gráfico:

Donde las máquinas tienen el siguiente direccionamiento (ficticio):

  • En el exterior:
    • exterior.empresa.net:  60.218.49.88
  • En el interior:
    • frontal.empresa.net: 192.168.200.1
    • odoo.empresa.net: 192.168.200.5
    • ldap.empresa.net: 192.168.200.2

La primera instalación de odoo accede sin problemas dado que está dentro de la misma red. La segunda, sin embargo, necesita que el servidor frontal redireccione el puerto LDAP a la máquina real dentro de la red.

Ahora el problema está en que abriéndolo así conseguimos que todo el mundo tenga acceso, la red entera dado el caso, así que  mejor ponemos una primera barrera en el cortafuegos y luego ya afinamos dentro si queremos o  no, o ciframos las conexiones vayan por donde vayan.

Si empleamos shorewall podemos crear reglas DNAT de la siguiente forma:

DNAT            net:60.218.49.88   loc:192.168.200.2:389   tcp     389
DNAT            net:60.218.49.88   loc:192.168.200.2:389   udp     389

De esta manera conseguimos que la segunda instalación de odoo pueda conectar con el directorio LDAP mientras que cualquier otra obtiene la callada por respuesta ya que el  cortafuegos desecha los paquetes como valor final predeterminado.