[RoLUG] Re: [RoLUG] netfilter
ciarez@inwind.it
rolug@lists.linux.it
Tue, 22 Oct 2002 09:29:18 +0200
> ciarez@inwind.it wrote:
>
> >>Ho un problema, forse stupido,=
con netfilter: se mi potessi auitare.
..
> >>
> >>La situazione della rete è questa:
> >>
> >>HOST_INTERNI 192.168.3.24 -> SNAT a.b.c.x -> INTERNET
> >>SERVER_WEB_INTERNO 192.168.3.199 <- DNAT a.b.c.y <- INTERNET
> >>
> >>Quello che ti volevo chiedere, riguarda il fatto che se dall'host
> >>interno voglio
> >>raggiungere il server web con il suo indirizzo ip pubblico non ci
=
> >>riesco.
> >>Se faccio un ping mi dice "richiesta scaduta".
=
> >>So che basterebbe chiamare il server col suo ip privato ma allora no
=
n
> >>
> >è
> >
> >>+ bello...
> >>Il fatto è che in una azienda hanno un fw che implementa + o - le
> >>stesse funzioni,
> >>pero' il giro che ti ho detto da loro funziona :(
> >>Sapresti dirmi perchè?
> >>
>
> dunque.... queste le condizioni:
> 1) rete locale mascherata con un source NAT
> 2) server non in DMZ ma dietro firewall a sua volta raggiungibile con
un
> destination NAT
>
> in questa situazione, NON HA SENSO da un host locale passare per il
> firewall per poi rientrare sulla rete locale per accedere il server...
..
>
> quello che si fa in questi casi e' sfruttare una "feature" del server
> dns locale
> sostanzialmente si tratta di istruire il server dns locale in modo che
:
> i) se la richiesta di risoluzione "www.nomeserver.tld" proviene da un
> host della rete locale (cioe' l'indirizzo IP sorgente e' un
> 192.168.3.0/24), il server dns risponde con l'IP address 192.168.3.199
> ii) se la richiesta e' provieniente dal resto del mondo, il server dns
> risponde con l'IP address a.b.c.y
>
> per fare questo, devi creare due file zonali del server dns e mettere
> queste opzioni sul named.conf (almeno per BIND 9.2):
>
> view "internal" {
> match-clients { 192.168.3/; };
> recursion yes;
> zone "nomeserver.tdl" in {
> type master;
> file "nome_che_vuoi_interno";
> };
> };
>
> view "external" {
> match-clients { any;};
> recursion yes;
> zone "nomeserver.tdl" in {
> type master;
> file "nome_che_vuoi_esterno";
> };
> };
>
>
> magari metti anche i file zonali per la risoluzione inversa...che non
> guasta mai !!! ;-)
>
> magari in una prossima mail ti dico come aggirare il problema se non h
ai
> il server dns a disposizione e ne devi usare uno esterno
>
> nel frattempo potresti postare i file di config di iptables (se non ti
> e' un problema).... magari cela i prefissi degli indirizzi pubblici
>
>
>
>
>
> --
> Mailing list info: http://lists.linux.it/listi=
nfo/rolug
>
Sono d'accordo che non ha senso fare una cosa del genere, tuttavia in
una ditta ho visto che funziona e la mia era piu' una curiosita'.
Non ho usato i nomi ma direttamente gli indirizzi ip (+ precisamente
non io ma 1 mio collega).
Mi e' venuto un dubbio pero': non so se il server sia in dmz.
Il mio collega si ricorda solamente che sia l'indirizzo dell'host
locale sia quello interno sono 10.x.x.x .
Anche se e' "un giro dell'oca", teoricamente si puo' realizzare con
netfilter?