<html>
At 12.21 03/11/03 +0100, you wrote:<br>
<blockquote type=cite class=cite cite>In /etc/ppp/options che la voce
lock, che setta automaticamente il gateway (come mi facevi notare
tu)</blockquote><br>
Uh, la voce e' "defaultroute". "lock" si limita a
creare un lock file per la seriale (se c'e').<br><br>
<blockquote type=cite class=cite cite>> Controlla che il forwarding
sia abilitato:<br>
> <br>
> cat /proc/sys/net/ipv4/ip_forward<br><br>
Ho settato a 1 il valore di ip_forward sia sul gateway, sia sui client
della lan</blockquote><br>
Solo sul gateway, solo sul gateway. E va settato ogni volta perche' e' un
file finto, quindi<br>
puo' venire buono metterlo, ad es., in
"/etc/ppp/ip-up".<br><br>
<blockquote type=cite class=cite cite>> e che il firewall preveda il
masquerading della rete interna (sia come <br>
> kernel che come setup).<br><br>
CHE SIGNIFICA "come setup"?</blockquote><br>
Che non basta avere il supporto per ipfw, occorre anche che il supporto
sia attivato dagli<br>
opportuni comandi di ip[chains|fwadm|tables].<br><br>
Allo scopo pòle tornare utile lo script per firewall di Mr.Shark che
trovi su Google.<br><br>
<blockquote type=cite class=cite cite>(sia lato gateway, sia client
lan)</blockquote><br>
Solo gateway (male non fa, sui client, pero' e' inutile)<br><br>
<blockquote type=cite class=cite cite>ed aggiunto sui client lan il
comando:<br><br>
route add default gw <gateway_address><br><br>
Per quanto riguarda le regole di iptables ho selezionato e dato nel
seguente ordine:</blockquote><br>
Prima di tutto io proverei a fare solo masquerading, e vedere che
succede. Poi la<br>
configurazione di iptables e' un po' piu' complessa di cosi' (v.
HOWTO).<br><br>
<br>
<blockquote type=cite class=cite cite>iptables -t nat -A POSTROUTING -s
<source_address> -j MASQUERADE<br>
iptables -A FORWARD -s <source_address> -j ACCEPT<br>
iptables -A FORWARD -d <destination_address> -j ACCEPT<br>
iptables -A FORWARD -j DROP<br>
</blockquote><br>
Quando l'interfaccia ppp0 e' su (quindi in /etc/ppp/ip-up va
bene):<br><br>
<font size=4>/sbin/iptables -F<br>
/sbin/iptables -X<br><br>
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT<br>
/sbin/iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT<br>
/sbin/iptables -P INPUT DROP<br><br>
/sbin/iptables -A FORWARD -i ppp0 -o eth0 -m state --state
ESTABLISHED,RELATED -j ACCEPT<br>
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT<br>
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE<br>
/sbin/iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT<br><br>
</font>Questo impedisce al gateway di agire come server verso client
all'esterno su Internet, e<br>
fa uscire in masquerade solo i pacchetti puliti, nattandoli.<br><br>
<blockquote type=cite class=cite cite>Il firewall deve essere abilitato
anche sui client?</blockquote><br>
No, non serve.<br><br>
<blockquote type=cite class=cite cite>Tuttavia non si esce!<br>
Che cosa devo fare ancora?</blockquote><br>
Mah. Perseverare :-)<br><br>
Leonardo</html>