[Tech] condivisione accesso internet

Leonardo Serni sernil@tin.it
Lun 3 Nov 2003 23:35:04 CET 

At 12.21 03/11/03 +0100, you wrote:
>In /etc/ppp/options che la voce lock, che setta automaticamente il gateway 
>(come mi facevi notare tu)

Uh, la voce e' "defaultroute". "lock" si limita a creare un lock file per 
la seriale (se c'e').

> > Controlla che il forwarding sia abilitato:
> >
> > cat /proc/sys/net/ipv4/ip_forward
>
>Ho settato a 1 il valore di ip_forward sia sul gateway, sia sui client 
>della lan

Solo sul gateway, solo sul gateway. E va settato ogni volta perche' e' un 
file finto, quindi
puo' venire buono metterlo, ad es., in "/etc/ppp/ip-up".

> > e che il firewall preveda il masquerading della rete interna (sia come
> > kernel che come setup).
>
>CHE SIGNIFICA "come setup"?

Che non basta avere il supporto per ipfw, occorre anche che il supporto sia 
attivato dagli
opportuni comandi di ip[chains|fwadm|tables].

Allo scopo pòle tornare utile lo script per firewall di Mr.Shark che trovi 
su Google.

>(sia lato gateway, sia client lan)

Solo gateway (male non fa, sui client, pero' e' inutile)

>ed aggiunto sui client lan il comando:
>
>route add default gw <gateway_address>
>
>Per quanto riguarda le regole di iptables ho selezionato e dato nel 
>seguente ordine:

Prima di tutto io proverei a fare solo masquerading, e vedere che succede. 
Poi la
configurazione di iptables e' un po' piu' complessa di cosi' (v. HOWTO).


>iptables -t nat -A POSTROUTING -s <source_address> -j MASQUERADE
>iptables -A FORWARD -s <source_address> -j ACCEPT
>iptables -A FORWARD -d <destination_address> -j ACCEPT
>iptables -A FORWARD -j DROP

Quando l'interfaccia ppp0 e' su (quindi in /etc/ppp/ip-up va bene):

/sbin/iptables -F
/sbin/iptables -X

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT
/sbin/iptables -P INPUT DROP

/sbin/iptables -A FORWARD -i ppp0 -o eth0 -m state --state 
ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT

Questo impedisce al gateway di agire come server verso client all'esterno 
su Internet, e
fa uscire in masquerade solo i pacchetti puliti, nattandoli.

>Il firewall deve essere abilitato anche sui client?

No, non serve.

>Tuttavia non si esce!
>Che cosa devo fare ancora?

Mah. Perseverare :-)

Leonardo
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/flug-tech/attachments/20031103/10adc91b/attachment.htm>

Maggiori informazioni sulla lista flug-tech