[bglug] SFIDA per veri GURU di IPTables

Diego Tironi diego@tironi.net
Mar 24 Maggio 2005 15:36:59 CEST


>-A PREROUTING -i interfaccia_ip_pubblico -p tcp -m tcp --dport 3389 -j DNAT
>--to-destination 10.0.0.3:3389 <http://10.0.0.3:3389>

>per il secondo punto,credo che nattando sull'interfaccia interna il
traffico
>dovrebbe raggiungere il server windows tornare al server linux e essere
>instradato su internet
>-A POSTROUTING -o interfaccia_interna -j MASQUERADE

Marco, il tuo ragionamento mi sembra corretto.

Affinando un po' le regole:
iptables -t nat -A PREROUTING -i interfaccia_ip_pubblico -p tcp -m
tcp --dport 3389 -j DNAT --to 10.0.0.3
iptables -t nat -A POSTROUTING -p tcp -s
indirizzo_ip_pubblico_della/delle_macchine_remote_che_vogliono_accedere_al-g
estionale -o interfaccia_interna --dport 3389 -j SNAT --to-source 10.0.0.2

Non mi ricordo se influisca o meno, pero' almeno momentaneamente disabilita
/proc/sys/net/ipv4/conf/all/rp_filter
settandolo a 0.

Andrea, tieni anche presente che con questo sporchissimo stratagemm, che non
consiglierei a nessuno, ma che ho dovuto utilizzare alcune volte dietro
minaccia
di morte ;-),  il server gestionale si vedra' arrivare le connessioni sempre
e
comunque da 10.0.0.2 negandoti di fatto la possibilità di associare le
connessioni verso il server gestionale al reale indirizzo IP di provenienza.

Ciao, Diego




Maggiori informazioni sulla lista bglug