[RoLug] netfilter

Chiarello Cristian rolug@lists.linux.it
Wed, 13 Nov 2002 21:57:43 +0100 

Pierpaolo Bergamo wrote:
> ciarez@libero.it wrote:
> 
>> #Source NAT (SNAT)
>> iptables -t nat -A POSTROUTING -o $OUTDEV  -j SNAT --to $OUTADD
>>
>> #Destination NAT (DNAT)
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_DEV -j DNAT -
>> -to $INSRV_DEV
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_WS -j DNAT --
>> to $INSRV_WS
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_MAILNOTES 
>> -j DNAT --to $INSRV_MAILNOTES
>>
> ciao cris,
> scusa il ritardo della risposta (ho risposte in arretrato di una 
> settimana.... che periodaccio !)
> 

Anche per me, quindi visto il mio ritardo siamo pari :)


> ricapitolando...
> il problema e' che hai una lan locale nattata e alcuni server dentro la 
> rete locale (non in DMZ, a quanto dicono gli script di config) 
> raggiungibili dall'esterno grazie al DNAT (e dall'interno in modo diretto)
> 
> la tua domanda era.... come mai non riesco a pingare un server interno 
> tramite l'indirizzo esterno (in sostanza uscendo e rientrando dal 
> firewall) ?

Si, + o -

> 
> mi sono permesso di quotare PARTE del file di config del firewall... 
> solo parte "innocua", non le regole di firewalling vere e proprie
> (per gli altri... cristian mi ha mandato "fuori banda" lo script di 
> config del firewall di una ditta.... quindi non si e' legittimamente 
> sentita di pubblicarla in mailing list)
> 

ok no problem

> il SNAT fa un completo masquerading su tutti i protocolli... quindi da 
> dentro la rete locale verso fuori c'e' completa trasparenza
> quando da fuori tenti di indirizzare in modo trasparente i server 
> interni, in realta' ce la fai solo con i servizi basati sul protocollo tcp
> infatti, se guardi, le linee di configurazione il DNAT sulla chain di 
> PREROUTING viene fatto solo su TCP
> il tuo problema era che il ping non andava a buon fine.... e infatti 
> ping e' basato su ICMP e non suTCP
> 
> mi aspetto pero' che tu riesca ad usare ad esempio il server web (non 
> certo un server dns o nfs che sono basati principalmente su udp)
> 

purtroppo non va. Ho provato la 80 (http) e la 1352 (nrpc Lotus Notes)

> potresti provare a sostituire le righe di DNAT con:
> 
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_DEV -j DNAT --to 
> $INSRV_DEV
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_WS -j DNAT --to 
> $INSRV_WS
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_MAILNOTES -j DNAT 
> --to $INSRV_MAILNOTES
> 
Provero' poi ti sapro' dire

Grazie! ciao