[RoLUG] Re: [RoLUG] netfilter

[ciarez@inwind.it]

> ciarez@inwind.it wrote:
> 
> >>Ho un problema, forse stupido,=
 con netfilter: se mi potessi auitare.
..
> >>
> >>La situazione della rete è questa:
> >>
> >>HOST_INTERNI 192.168.3.24 -> SNAT a.b.c.x -> INTERNET 
> >>SERVER_WEB_INTERNO 192.168.3.199 <- DNAT a.b.c.y <- INTERNET
> >>
> >>Quello che ti volevo chiedere, riguarda il fatto che se dall'host 
> >>interno voglio 
> >>raggiungere il server web con il suo indirizzo ip pubblico non ci 
=
> >>riesco.
> >>Se faccio un ping mi dice "richiesta scaduta".
=
> >>So che basterebbe chiamare il server col suo ip privato ma allora no
=

n 
> >>
> >è 
> >
> >>+ bello...
> >>Il fatto è che in una azienda hanno un fw che implementa + o - le 
> >>stesse funzioni,
> >>pero' il giro che ti ho detto da loro funziona :(
> >>Sapresti dirmi perchè?
> >>
> 
> dunque.... queste le condizioni:
> 1) rete locale mascherata con un source NAT
> 2) server non in DMZ ma dietro firewall a sua volta raggiungibile con 
un 
> destination NAT
> 
> in questa situazione, NON HA SENSO da un host locale passare per il 
> firewall per poi rientrare sulla rete locale per accedere il server...
..
> 
> quello che si fa in questi casi e' sfruttare una "feature" del server 
> dns locale
> sostanzialmente si tratta di istruire il server dns locale in modo che
:
> i) se la richiesta di risoluzione "www.nomeserver.tld" proviene da un 
> host della rete locale (cioe' l'indirizzo IP sorgente e' un 
> 192.168.3.0/24), il server dns risponde con l'IP address 192.168.3.199
> ii) se la richiesta e' provieniente dal resto del mondo, il server dns
 
> risponde con l'IP address a.b.c.y
> 
> per fare questo, devi creare due file zonali del server dns e mettere 
> queste opzioni sul named.conf (almeno per BIND 9.2):
> 
> view "internal" {
>         match-clients { 192.168.3/; };
>         recursion yes; 
>         zone "nomeserver.tdl" in {
>                 type master;
>                 file "nome_che_vuoi_interno";
>         };
> };
> 
> view "external" {
>         match-clients { any;};
>         recursion yes; 
>         zone "nomeserver.tdl" in {
>                 type master;
>                 file "nome_che_vuoi_esterno";
>         };
>  };
> 
> 
> magari metti anche i file zonali per la risoluzione inversa...che non 
> guasta mai !!! ;-)
> 
> magari in una prossima mail ti dico come aggirare il problema se non h
ai 
> il server dns a disposizione e ne devi usare uno esterno
> 
> nel frattempo potresti postare i file di config di iptables (se non ti
 
> e' un problema).... magari cela i prefissi degli indirizzi pubblici
> 
> 
> 
> 
> 
> -- 
> Mailing list info: http://lists.linux.it/listi=
nfo/rolug
> 

Sono d'accordo che non ha senso fare una cosa del genere, tuttavia in 
una ditta ho visto che funziona e la mia era piu' una curiosita'. 
Non ho usato i nomi ma direttamente gli indirizzi ip (+ precisamente 
non io ma 1 mio collega).
Mi e' venuto un dubbio pero': non so se il server sia in dmz.
Il mio collega si ricorda solamente che sia l'indirizzo dell'host 
locale sia quello interno sono 10.x.x.x .
Anche se e' "un giro dell'oca", teoricamente si puo' realizzare con 
netfilter?