[RoLUG] netfilter
Pierpaolo Bergamo
rolug@lists.linux.it
Mon, 21 Oct 2002 18:13:39 +0200
ciarez@inwind.it wrote:
>>Ho un problema, forse stupido, con netfilter: se mi potessi auitare...
>>
>>La situazione della rete è questa:
>>
>>HOST_INTERNI 192.168.3.24 -> SNAT a.b.c.x -> INTERNET
>>SERVER_WEB_INTERNO 192.168.3.199 <- DNAT a.b.c.y <- INTERNET
>>
>>Quello che ti volevo chiedere, riguarda il fatto che se dall'host
>>interno voglio
>>raggiungere il server web con il suo indirizzo ip pubblico non ci
>>riesco.
>>Se faccio un ping mi dice "richiesta scaduta".
>>So che basterebbe chiamare il server col suo ip privato ma allora non
>>
>è
>
>>+ bello...
>>Il fatto è che in una azienda hanno un fw che implementa + o - le
>>stesse funzioni,
>>pero' il giro che ti ho detto da loro funziona :(
>>Sapresti dirmi perchè?
>>
dunque.... queste le condizioni:
1) rete locale mascherata con un source NAT
2) server non in DMZ ma dietro firewall a sua volta raggiungibile con un
destination NAT
in questa situazione, NON HA SENSO da un host locale passare per il
firewall per poi rientrare sulla rete locale per accedere il server.....
quello che si fa in questi casi e' sfruttare una "feature" del server
dns locale
sostanzialmente si tratta di istruire il server dns locale in modo che:
i) se la richiesta di risoluzione "www.nomeserver.tld" proviene da un
host della rete locale (cioe' l'indirizzo IP sorgente e' un
192.168.3.0/24), il server dns risponde con l'IP address 192.168.3.199
ii) se la richiesta e' provieniente dal resto del mondo, il server dns
risponde con l'IP address a.b.c.y
per fare questo, devi creare due file zonali del server dns e mettere
queste opzioni sul named.conf (almeno per BIND 9.2):
view "internal" {
match-clients { 192.168.3/; };
recursion yes;
zone "nomeserver.tdl" in {
type master;
file "nome_che_vuoi_interno";
};
};
view "external" {
match-clients { any;};
recursion yes;
zone "nomeserver.tdl" in {
type master;
file "nome_che_vuoi_esterno";
};
};
magari metti anche i file zonali per la risoluzione inversa...che non
guasta mai !!! ;-)
magari in una prossima mail ti dico come aggirare il problema se non hai
il server dns a disposizione e ne devi usare uno esterno
nel frattempo potresti postare i file di config di iptables (se non ti
e' un problema).... magari cela i prefissi degli indirizzi pubblici