[Tech] DNAT
Aldo Podavini
a.podavini@ldvsrl.it
Gio 22 Gen 2004 09:54:24 CET
Scrive Simone Piccardi <piccardi@softwarelibero.org>:
> On Wed, 2004-01-21 at 20:25, Aldo Podavini wrote:
> > Il che è +o- quanto avevo proposto in precedenza, mi pare...:
> E' il "+o-" che ti frega. Cosi` i pacchetti non torneranno mai indietro.
>
> >
> > >> iptables -t nat -A POSTROUTING -p tcp -s $IP_CLIENT -j MASQUERADE
> >
> > Ma pare che non funga.
> Il masquerading viene sempre fatto sull'interfaccia verso l'esterno. Qui
> tu vuoi stare sulla stessa rete. Quella regola e` quasi equivalente a
> dire:
>
> iptables -t nat -A POSTROUTING -p tcp -s $IP_CLIENT -o ppp0 -j SNAT --to
> IPPUBBLICO
>
> Qui i pacchetti non usciranno mai da ppp0 (o quella che e` l'interfaccia
> che va verso l'esterno), essendo diretti alla rete interna.
>
Beh... in teoria il masquerading dovrebbe essere fatto verso l'esterno nel
senso "l'esterno dopo che il pacchetto è stato ruotato". Se in prerouting -
come in questo caso - il pacchetto viene DNAT-tato con un indirizzo della rete
interna, il masquerade non dovrebbe fare un:
iptables -t nat -A POSTROUTING -p tcp -s $IP_CLIENT -o ppp0 -j SNAT --to
$IP_INTERNO_DEL_FW
?
Almeno credo...
> Comunque il modo piu` pulito e` quello del routing.
>
Condivido.
Ciao
Aldo
-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/
Maggiori informazioni sulla lista
flug-tech