[RoLug] netfilter
Chiarello Cristian
rolug@lists.linux.it
Wed, 13 Nov 2002 21:57:43 +0100
Pierpaolo Bergamo wrote:
> ciarez@libero.it wrote:
>
>> #Source NAT (SNAT)
>> iptables -t nat -A POSTROUTING -o $OUTDEV -j SNAT --to $OUTADD
>>
>> #Destination NAT (DNAT)
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_DEV -j DNAT -
>> -to $INSRV_DEV
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_WS -j DNAT --
>> to $INSRV_WS
>> iptables -t nat -A PREROUTING -i $OUTDEV -p tcp -d $OUTSRV_MAILNOTES
>> -j DNAT --to $INSRV_MAILNOTES
>>
> ciao cris,
> scusa il ritardo della risposta (ho risposte in arretrato di una
> settimana.... che periodaccio !)
>
Anche per me, quindi visto il mio ritardo siamo pari :)
> ricapitolando...
> il problema e' che hai una lan locale nattata e alcuni server dentro la
> rete locale (non in DMZ, a quanto dicono gli script di config)
> raggiungibili dall'esterno grazie al DNAT (e dall'interno in modo diretto)
>
> la tua domanda era.... come mai non riesco a pingare un server interno
> tramite l'indirizzo esterno (in sostanza uscendo e rientrando dal
> firewall) ?
Si, + o -
>
> mi sono permesso di quotare PARTE del file di config del firewall...
> solo parte "innocua", non le regole di firewalling vere e proprie
> (per gli altri... cristian mi ha mandato "fuori banda" lo script di
> config del firewall di una ditta.... quindi non si e' legittimamente
> sentita di pubblicarla in mailing list)
>
ok no problem
> il SNAT fa un completo masquerading su tutti i protocolli... quindi da
> dentro la rete locale verso fuori c'e' completa trasparenza
> quando da fuori tenti di indirizzare in modo trasparente i server
> interni, in realta' ce la fai solo con i servizi basati sul protocollo tcp
> infatti, se guardi, le linee di configurazione il DNAT sulla chain di
> PREROUTING viene fatto solo su TCP
> il tuo problema era che il ping non andava a buon fine.... e infatti
> ping e' basato su ICMP e non suTCP
>
> mi aspetto pero' che tu riesca ad usare ad esempio il server web (non
> certo un server dns o nfs che sono basati principalmente su udp)
>
purtroppo non va. Ho provato la 80 (http) e la 1352 (nrpc Lotus Notes)
> potresti provare a sostituire le righe di DNAT con:
>
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_DEV -j DNAT --to
> $INSRV_DEV
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_WS -j DNAT --to
> $INSRV_WS
> iptables -t nat -A PREROUTING -i $OUTDEV -d $OUTSRV_MAILNOTES -j DNAT
> --to $INSRV_MAILNOTES
>
Provero' poi ti sapro' dire
Grazie! ciao