[Tech] SNATsemistatico

[Leonardo Boselli]

On 19 Mar 2003, at 8:39, Ufficio Ced wrote:
> Io faccio cosi':
> prima di tutto (o quando mi serve) lancio le interfacce virtuali
> /sbin/ifconfig eth0:1 a.b.c.xxx netmask 255.255.255.x
> /sbin/ifconfig eth0:2 a.b.c.xx1 netmask 255.255.255.x
ok su questo ... ma chiedo anche agli altri:
 quando attivo ppp da una seriale non debbo fare questo ....
> per abilitare sull'interfaccia eth0 gli indirizzi che mi servono;
> dopodiche' si utilizzano regole di questo tipo: iptables -t nat -A
> PREROUTING -s (indirizzo o rete source) -d a.b.c.236 -p tcp --dport
> 3306 -j DNAT --to 10.10.5.7:3306
> in questo esempio tutte le richieste che provengono dall'indirizzo 
> o rete indicato dal parametro -s e che hanno come destinazione 
> a.b.c.236 > sulla porta 3306 vengono "DNATTATE" (destination nat) verso la stessa
> porta dell'indirizzo 10.10.5.7.
> Funziona egregiamente!
ci credo, ma la domanda era un'altra: io ho fatto quello come 
esempio per dire che il NAT deve essere completo e bidirezionale.
ossia che la chiamata potrebbe venire non soo dalla 3306 ma 
anche dalla 19856 19 22 3456 56001 e così via ... e lo stesso la 
macchina all'interno potrebbe volere accedere a QAULUNQUE 
macchina allésterno su QUALUNQUE porta e dovrebbe aspparire 
all'esterno con l'indirizzo che gli ho assegnato.
Ossia: al'interno ho diverse centinaia di macchine, con indirizzi 
abbastanza causali, solo 15 di queste possono uscire [ma non è 
detto che becchino sempre lo stesso indirizzo al'interno] e quindi 
volta per volta debbo "abilitarle".Queste, a tutti gli effetti, all'esterno 
debbnono essere viste con uno dei 15 indirizzi "aggiuntivi" e 
cisacuno di questi, in ogni momento,  deve corrispondere a una e 
una sola.

--
Leonardo Boselli
Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
tel +39 0554796431 cell +39 3488605348 fax +39 055495333
http://www.dicea.unifi.it/~leo