[Tech] 4 fili [di rete]
Sheikholeslami Navid (bonjo)
shnavid@cyberbeat.it
Mer 29 Gen 2003 22:45:37 CET
nelle mie risposte ho dato per scontato che i server (squid e ftp)
fossero sul gateway stesso, se non fosse cosi' allora chiaramente le
interfacce iif sono quelle da cui il pacchetto entra nel gateway linux :)
e inoltre, e' possibile evitare l'utilizzo del fwmark anche per l'ftp se:
- il server ftp e' locale, bisogna fare come per lo squid (assegnare un
IP fisso)
- il server ftp e' nella dmz, la cosa e' molto piu' semplice perche
conosciamo sempre il source dei pacchetti ftp
blablabla ma quanta voglia di chiaccherare c'ho stasera :D
>> difficile bis: posso dire a ftp server che anche se la richiesta gli
>> arriva da adsl i dati li passi solo via eth0 ?
>> (ripeto: la macchina ha 3 indirizzi pubblici)
>
> solita cosa, pero' stavolta sei costretto ad usare il fwmark di
> iptables
>
> iptables -t mangle -A FORWARD -p tcp -s IP_DEL_SERVER_FTP -m multiport
> --sport 20,21 -j MARK --set-mark 21
> ip rule add iif lo fwmark 21 table 40
> ip route add default table 40 via GATEWAY_FISSO_PER_FTP
"Believe you can, believe you can't; either way, you're right" - Henry Ford
"Security is a process, not a product..." - Bruce Schneier
Sheikholeslami Navid <shnavid@cyberbeat.it>
Key fingerprint = D6FA 566F C9D0 7A17 F25A 1C7C 21F6 3E22 01A7 F604
GPG Key: http://www.navid.cyberbeat.it/shnavid.gpg
Maggiori informazioni sulla lista
flug-tech