… para que una segunda instalación de odoo pueda usarla para identificar usuarios.
Pues resulta que tengo un mapa de red como el del siguiente gráfico:
Donde las máquinas tienen el siguiente direccionamiento (ficticio):
- En el exterior:
- exterior.empresa.net: 60.218.49.88
- En el interior:
- frontal.empresa.net: 192.168.200.1
- odoo.empresa.net: 192.168.200.5
- ldap.empresa.net: 192.168.200.2
La primera instalación de odoo accede sin problemas dado que está dentro de la misma red. La segunda, sin embargo, necesita que el servidor frontal redireccione el puerto LDAP a la máquina real dentro de la red.
Ahora el problema está en que abriéndolo así conseguimos que todo el mundo tenga acceso, la red entera dado el caso, así que mejor ponemos una primera barrera en el cortafuegos y luego ya afinamos dentro si queremos o no, o ciframos las conexiones vayan por donde vayan.
Si empleamos shorewall podemos crear reglas DNAT de la siguiente forma:
DNAT net:60.218.49.88 loc:192.168.200.2:389 tcp 389 DNAT net:60.218.49.88 loc:192.168.200.2:389 udp 389
De esta manera conseguimos que la segunda instalación de odoo pueda conectar con el directorio LDAP mientras que cualquier otra obtiene la callada por respuesta ya que el cortafuegos desecha los paquetes como valor final predeterminado.