[Tech] Masquerading con ipchains e iptables

[Alessio Frusciante]

Ciao a tutti,
vediamo se riesco a chiarire un po' la faccenda.
Di iptables ne abbiamo parlato parecchio... in pratica come andrebbe usato
il masquerading? Abbiamo la nostra tabella nat e facciamo una cosa
tipo:

iptables -t nat -A POSTROUTING -o $INTERFACCIACATTIVA -j MASQUERADE

Questo non influenza affatto le altre catene, ovviamente (notare che siamo
sulla catena POSTROUTING). Quando un pacchetto relativo alla nostra
connessione torna al firewall viene "demascherato" (si dice?), ma la catena
FORWARD deve essere informata di far passare alcuni pacchetti, non si puo`
semplicemente mettere la policy a DROP. Supponiamo di voler far passare
tutto dall'interno all'esterno e di voler accettare i pacchetti TCP
dall'esterno solo se fanno parte di una connessione iniziata dall'interno.
Mettiamo delle regole tipo:

iptables -A FORWARD -o $INTERFACCIACATTIVA -j ACCEPT
iptables -A FORWARD -i $INTERFACCIACATTIVA -m state --state
ESTABLISHED,RELATED -j ACCEPT

e a questo punto possiamo avere la policy di FORWARD a DROP.
Con ipchains la cosa era diversa, in quanto il MASQ era un target che
tipicamente stava sulla catena FORWARD, quindi non c'era bisogno di dire
altro che:

ipchains -A forward -i $INTERFACCIABUONA -j MASQ

e si poteva mettere la policy di forward a DENY senza specificare altro.
Puo` tornare?

Ciao
Alessio

PS: non ho provato le regole, magari ci sono errori di sintassi.