[bglug] SFIDA per veri GURU di IPTables

Fleur andrea@moltimedia.it
Gio 26 Maggio 2005 08:50:42 CEST


Intanto ... GRAZIE per le risposte :-)

OK, ci siamo quasi ... anche se per adesso NON funziona !

> Affinando un po' le regole:
> iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389
> -j DNAT --to 10.0.0.3:3389

Questo mi e' chiaro, non fa ne' + ne' - che il classico port-forward che si 
trova ormai
in tantissimi router permettendo cioe' di inoltrare i pacchetti che arrivano 
su una specifica
porta ad un pc della lan interna.

> per il secondo punto,credo che nattando sull'interfaccia interna il 
> traffico
> dovrebbe raggiungere il server windows tornare al server linux e essere 
> instradato su internet
>-A POSTROUTING -o interfaccia_interna -j MASQUERADE

>iptables -t nat -A POSTROUTING -p tcp -s 15.0.0.0/24 -o eth0 --dport 
>3389 -j SNAT --to-source 10.0.0.2
Questo fa in modo che i pacchetti escano dal server linux con l'indirizzo ip 
sorgente LOCALE (10.0.0.2)
I pacchetti di risposta del server Windows Gestionale ritorneranno quindi al 
server Linux che ...
La cosa NON funziona non perche' siano sbagliati i comandi ma perche' la 
macchina linux
ha UNA SOLA SCHEDA DI RETE !!!

In questo modo non credo che il NAT si comporti correttamente ...
Putroppo iptables NON accetta gli alias (eth0:0 ed eth0:1) ma vuole 
interfacce fisiche(...reali)

Qualche altra idea ?
Forza che la poltrona di IPTABLE_GURU e' ancora vacante !

> almeno momentaneamente disabilita /proc/sys/net/ipv4/conf/all/rp_filter 
> settandolo a 0.

Questo NON ho capito cosa faccia

> Andrea, tieni anche presente che con questo sporchissimo stratagemm, che 
> non
> consiglierei a nessuno, ma che ho dovuto utilizzare alcune volte dietro
> minaccia di morte ;-),  il server gestionale si vedra' arrivare le 
> connessioni sempre
> e comunque da 10.0.0.2 negandoti di fatto la possibilità di associare le
> connessioni verso il server gestionale al reale indirizzo IP di 
> provenienza.

I problemi hanno le loro soluzioni, anche se non piacciono ai puristi !
E' indispensabile per me che il server invii i pacchetti di risposta ad un 
indirizzo locale,
questo' perche' ho impostato un gateway fasullo sull'interfaccia IP del 
server !!!
( un po' di paranoia non fa mai male, no ?)
Il server ha quindi inibito ogni forma di trasmissione dati al di fuori 
della rete lan locale !

Attendo idee :-)

Fleur 



Maggiori informazioni sulla lista bglug