[Tech] ISDN router
Alessandro Zarrilli
drsound@edisons.it
Lun 9 Apr 2001 15:44:16 CEST
At 10.58 09/04/01, you wrote:
>Non riesco a
>trovare il sistema per permettere tramite la funzione di dial on demand
>(dialmode "auto" propria di isdnrctl ) la connessione per le sole chiamate
>alla porta 80 evitando dunque che il server si colleghi al provider alla
>richiesata di uno degli altri servizi. In pratica usando il masquerading con
>le regole di firewall di ipchains sono costretto ad escludere tutto il
>traffico sulle porte 136 137 etc.. vanificando le funzionalità per cui
>dovrebbe essere preposto...
Perché non installi un proxy? In questo modo potresti fare a meno del
masquerading... credo che risolverebbe tutti i tuoi problemi. Ti consiglio
Delegate, che supporta un'infinità di protocolli ed è molto più "leggero"
(sebbene meno performante) di Squid:
http://www.delegate.org
Altrimenti potresti modificare le regole di IPCHAINS per effettuare il
masquerading soltanto quando la porta di destinazione è 80 oppure 53
(ammesso che Linux non faccia anche da DNS o caching-DNS): imposta DENY o
REJECT come default policy per la catena FORWARD (ipchains -P forward
DENY), dopodiché aggiungi le regole (vado a memoria perché adesso sono
sotto Windows):
ipchains -A forward -s 192.168.0.1/24 -d 0.0.0.0/0 80 -j MASQ
ipchains -A forward -s 192.168.0.1/24 -d 0.0.0.0/0 53 -j MASQ
In questo modo Linux dovrebbe rifiutare tutte le richieste di MASQUERADING
dirette verso le porte 136 o 137 di server remoti. Dovrebbe invece
accettare le richieste dirette verso Linux stesso (Samba).
Maggiori informazioni sulla lista
flug-tech