[Tech] Chiarimenti su Nat
Daniele Masini
d.masini@libero.it
Mer 24 Set 2003 17:38:14 CEST
Puoi vedere come sono impostate le varie chains (o tables) con
# iptables -L
e controlla INPUT, OUTPUT e FORWARD.
Inoltre, devi salvare la configurazione in /etc/sysconfig/iptables con il
comando
# iptables-save -c > /etc/sysconfig/iptables
in modo tale che il sistema te la ripristini automaticamente (con il comando
iptables-restore) al suo eventuale riavvio, altrimenti perderesti tutta la
configurazione.
Nello script che hai allegato manca un comando iptables -F subito dopo
iptables -P OUTPUT DROP, in maniera tale da cancellare tutte le eventuali
impostazioni precedenti. Mi riservo comunque di controllare meglio lo
script.
Saluti,
Daniele
----- Original Message -----
From: "Alex" <alex@vaticano.com>
To: <tech@firenze.linux.it>
Sent: Wednesday, September 24, 2003 2:44 PM
Subject: [Tech] Chiarimenti su Nat
> Ciao a tutti
> ho bisogno di chiarimenti sul nat, ho letto la documentazione, mapenso
> di non aver capito bene,
> nell'azienda dove lavoro vogliono mettere un pc (windows 2000 server con
> solo servizi web) sotto firewall (redhat 9),
> (e` la scelta dei programmatori, io ci metterei tutto) la rete ha
> indirizzi pubblici (es. 1.2.3.4 netmask 255.255.255.248) c'e` una rete
> privata dedicata solo al server (192.168.0.2 dmz) il dns e` sulla nostra
> rete (es. 1.2.3.0)con il dns invio i servizi web porta 80 sulla scheda
> eth1 1.2.3.3 del firewall che a sua volta ha un'altra scheda eth0 ip
> 192.168.0.1, il server windows ha come gateway 192.168.0.1, ho provato
> con uno script semplice che allego che fa il nat senza tante restrizioni
> ma sembra non funzionare,
>
> #!/bin/sh
> #Carico i moduli
> modprobe ip_tables
> modprobe iptable_nat
> modprobe ipt_MASQUERADE
> modprobe ip_conntrack
> ###################################################
> #setto le policy
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT DROP
> ###################################################
> #metto le regole
> iptables -t nat -A POSTROUTING -p all -o eth1 -j SNAT --to 1.2.3.3
> iptables -A FORWARD -p tcp -s 192.168.0.2 -d 1.2.3.3 -j ACCEPT
> iptables -A FORWARD -p tcp -s 1.2.3.3 -d 192.168.0.2 -j ACCEPT
> iptables -A FORWARD -j LOG
> #
> iptables -t nat -A PREROUTING -p tcp --dport 1:65535 -i eth0 -j DNAT
> --to 192.168.0.2
> #abilito il ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
> ----end
> ho sostituito nel forward gli ip con le schede di rete (eth0 eth1) ma
> non funziona
> dove sbaglio? oppure non ho capito nulla sul nat?
> se gentilmente qualcuno mi da una dritta
>
> ringrazio in anticipo
>
> Alex
>
>
> _______________________________________________
> FLUG - Discussioni tecniche - tech@firenze.linux.it
> URL: http://lists.firenze.linux.it/mailman/listinfo/tech
> Archivio: http://lists.firenze.linux.it/pipermail/tech
> Ricerca nell'archivio: http://www.firenze.linux.it/search
Maggiori informazioni sulla lista
flug-tech