[Tech] Risolto: SNATsemistatico (lunga)

Leonardo Boselli leo@dicea.unifi.it
Ven 21 Mar 2003 19:23:11 CET 

On 20 Mar 2003, at 14:03, Morpheus wrote:
> mi sa che nella concitazione abbiamo fatto un po' di casino, cmq rimediamo 
> subito. Copio/incollo da man iptables:
(...)
> Quindi, riassumendo, avrai due regole fatte così:
> - -per le connessioni in ingresso-
> iptables -t nat -A  PREROUTING  -d ip_pubblico -j DNAT \
>                                              --to-destination ip_interno
> - -per le connessioni in uscita-
> iptables -t nat -A POSTROUTING -s ip_interno -j SNAT \
>                                              --to-source ip_pubblico
> Giustamente potresti farmi notare che, mentre la prima regola non può dare 
> adito a fraintesi, la seconda sembra instradare indistintamente tutto il 
> traffico della lan generato da ip_interno verso un, non sempre coerente, 
> ip_pubblico. Di fatto ciò non accade, ma, per eccesso di zelo (che in certi 
> casi non è mai sbagliato) possiamo eliminare ogni ambiguità modificando in 
> questo modo la regola per le connessioni in uscita:
> 
> iptables -t nat -A POSTROUTING -s ip_interno -d !ip_lan/netmask -j SNAT \
>                                              --to-source ip_pubblico
> 
> mi raccomando: specifica *sempre* le catene della tabella nat dove vuoi che 
> questi particolari jump (istruzione -j) vengano applicati perchè, come puoi 
> notare dai due stralci della pagina di manuale che ti ho riportato, 
> l'accettazione di tali regole è strettamente connessa a questa condizione.

> > All'"interno" NON ci dovrebbero essere server
> meglio così, altrimenti il discorso degli instradamenti sulla lan si complica 
> un pochino. Se l'argomento ti interessa, magari possiamo approfondire in pvt 
> visto che non so quanto la cosa possa essere di comune interesse a tutti i 
> partecipanti alla ml e non vorrei tediare nessuno.
secondo me questo messaggio è pergettamente on-topic e anche 
se più longo del solito non dovrebbe avere disturbato nessuno ...
specie visto che tutto ora funziona !!!!!
> di niente, spero di averti aiutato a risolvere il problema.
> Mi scuso con tutti per la lungaggine
fossero tutte queste ...
--
Leonardo Boselli
Nucleo informatico e Telematico 
Dipartimento Ingegneria Civile
Universita` di Firenze
Via Santa Marta 3
I-50139 Firenze
+39 055-4796-431
+39 348-8605-348
fax 055-495-333

Maggiori informazioni sulla lista flug-tech