[bglug] SFIDA per veri GURU di IPTables

[marco pozzi]

Quindi dnatti dal cisco al Linux, 

Farei questo tentativo, preciso non l'ho testato, è venerdi, manca solo un' 
oretta all'aperitivo ed è una "porcheria"(citazione), ma magari può aiutarti 
a trovare una soluzione 

iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.1 <http://10.0.0.1> -p tcp 
-m tcp --dport 3389
-j DNAT --to 10.0.0.3:3389 <http://10.0.0.3:3389/>

a questo punto il traffico arriva all'host .3 ma torna al .1, quindi mettere 
una route statica sul win per forzare il traffico a tornare all'host Linux

route ADD 10.0.0.1 <http://10.0.0.1> MASK
255.255.255.255<http://255.255.255.255>
10.0.0.2 <http://10.0.0.2>

aggiungi questa per far rimandare il traffico al router

iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.3 <http://10.0.0.3> -p tcp 
-m tcp --sport 3389
-j DNAT --to 10.0.0.2 <http://10.0.0.3:3389/>

in piu' il router si aspetterà i pacchetti con src .2 quindi devi snat-tare

iptables -t nat -A POSTROUTING -o eth0 -p tcp -m tcp --sport 3389
-j SNAT --to-source 10.0.0.2 <http://10.0.0.2/>


E' molto probabile, se non certo, che abbia trascurato qualche aspetto, fai 
i test necessari, suggerisco di usare uno sniffer su tutti gli host 
interessati per vedere cosa succede effetivamente e dai un'occhio sul cisco 
alle (sh ip) nat translations.
fammi sapere
Marco
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/bglug/attachments/20050527/e7ce568c/attachment.htm