[Tech] SNATsemistatico

Nicola Mersi (Uff. CED) ced@comune.signa.fi.it
Mer 19 Mar 2003 09:59:12 CET 

Salve Leonardo Boselli,

mercoledì 19 marzo 2003, 09.04.50, hai scritto:

LB> On 19 Mar 2003, at 8:39, Ufficio Ced wrote:
>> Io faccio cosi':
>> prima di tutto (o quando mi serve) lancio le interfacce virtuali
>> /sbin/ifconfig eth0:1 a.b.c.xxx netmask 255.255.255.x
>> /sbin/ifconfig eth0:2 a.b.c.xx1 netmask 255.255.255.x
LB> ok su questo ... ma chiedo anche agli altri:
LB>  quando attivo ppp da una seriale non debbo fare questo ....
>> per abilitare sull'interfaccia eth0 gli indirizzi che mi servono;
>> dopodiche' si utilizzano regole di questo tipo: iptables -t nat -A
>> PREROUTING -s (indirizzo o rete source) -d a.b.c.236 -p tcp --dport
>> 3306 -j DNAT --to 10.10.5.7:3306
>> in questo esempio tutte le richieste che provengono dall'indirizzo 
>> o rete indicato dal parametro -s e che hanno come destinazione 
>> a.b.c.236 > sulla porta 3306 vengono "DNATTATE" (destination nat) verso la stessa
>> porta dell'indirizzo 10.10.5.7.
>> Funziona egregiamente!
LB> ci credo, ma la domanda era un'altra: io ho fatto quello come 
LB> esempio per dire che il NAT deve essere completo e bidirezionale.
LB> ossia che la chiamata potrebbe venire non soo dalla 3306 ma 
LB> anche dalla 19856 19 22 3456 56001 e così via ... e lo stesso la 
LB> macchina all'interno potrebbe volere accedere a QAULUNQUE 
LB> macchina allésterno su QUALUNQUE porta e dovrebbe aspparire 
LB> all'esterno con l'indirizzo che gli ho assegnato.
LB> Ossia: al'interno ho diverse centinaia di macchine, con indirizzi 
LB> abbastanza causali, solo 15 di queste possono uscire [ma non è 
LB> detto che becchino sempre lo stesso indirizzo al'interno] e quindi 
LB> volta per volta debbo "abilitarle".Queste, a tutti gli effetti, all'esterno 
LB> debbnono essere viste con uno dei 15 indirizzi "aggiuntivi" e 
LB> cisacuno di questi, in ogni momento,  deve corrispondere a una e 
LB> una sola.

LB> --
LB> Leonardo Boselli
LB> Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
LB> Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
LB> tel +39 0554796431 cell +39 3488605348 fax +39 055495333
LB> http://www.dicea.unifi.it/~leo
LB> _______________________________________________
LB> FLUG - Discussioni tecniche - tech@firenze.linux.it
LB> URL: http://lists.firenze.linux.it/mailman/listinfo/tech
LB> Archivio: http://lists.firenze.linux.it/pipermail/tech
LB> Ricerca nell'archivio: http://www.firenze.linux.it/search

Ok, allora dovrebbe funzionare cosi': si divide il problema in due
(connessioni da dentro verso fuori e da fuori verso dentro)
iptables -t nat -A  PREROUTING  -d a.b.c.236 -j DNAT --to 10.10.5.7
(non ho mai verificato pero' come si comporta senza specificare le
porte ma secondo la documentazione dovrebbe andare bene)

e per fare la stessa cosa da dentro verso fuori

iptables -t nat -A POSTROUTING -o indirizzo_interno -j SNAT --to
a.b.c.236

Per il ppp non ti posso aiutare mi spiace, non so se si possono
attivare indirizzi virtuali su ppp (point-to-point-protocol).

Sperando di essere stato di aiuto, Nicola Mersi




-- 
Cordiali Saluti,
 Nicola Mersi (Uff. CED)                            mailto:ced@comune.signa.fi.it

_____________________________________________________

Ufficio Ced
Comune di Signa
p.zza della Repubblica 1
50058 Signa (FI)
0558794273
http://www.comune.signa.fi.it

_____________________________________________________

Maggiori informazioni sulla lista flug-tech