[Tech] iptables e redirect (o quant'altro)
Franco Vite
franco@firenze.linux.it
Lun 5 Lug 2004 17:36:09 CEST
ciao cari e care,
ho un gateway che mi dovrebbe redirigere tutte le connessioni alla 80
verso 192.168.*.*:80
è tutto il pomeriggio che mi ci incisto, ma non sto cavando il ragno dal
buco.
quello che penso di aver capito è che essendo la politica del mio
firewall sul DROP, in primis va aperta la 80.
come?
sulla catena INPUT o sulla PREROUTING?
chiedo questo perchè poi il redirect va sulla PREROUTING (o così ho
capito leggendo i vari manuali di netfilter).
cmq sia, io ho provato a fare queste cose, senza successo
(evidentemente):
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT \
--to 192.168.*.*:80
ma non funge
allora ho, dopo altre letture, ho provato con:
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to \
192.168.*.*:80
ma niet!
mi è stato consigliato a provare a vedere sulla catena di FORWARD (che
cmq è aperta) dato che:
"Se questo non va, vuol dire che c'e' un problema in FORWARD.
Prova
iptables -I FORWARD -i eth1 -p tcp --dport 80 -d 192.168.x.x -j ACCEPT"
provato, ma minga.
qualche idea?
allego iptable-save (ripulito da tutte le prove, quindi vergine dal
punto di vista del redirect).
--
Franco
"Certo bisogna farne di strada / da una ginnastica d'obbedienza /
fino ad un gesto molto più umano / che ti dia il senso della violenza /
però bisogna farne altrettanta / per diventare così coglioni / da non
riuscire più a capire / che non ci sono poteri buoni" F. De André
-------------- parte successiva --------------
# Generated by iptables-save v1.2.9 on Mon Jul 5 17:16:33 2004
*nat
:PREROUTING ACCEPT [559:59509]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [4:272]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Jul 5 17:16:33 2004
# Generated by iptables-save v1.2.9 on Mon Jul 5 17:16:33 2004
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [16298:7275967]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 255.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i eth1 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -m state --state INVALID,NEW -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -i eth1 -m state --state INVALID,NEW -j DROP
-A FORWARD -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -j DROP
COMMIT
# Completed on Mon Jul 5 17:16:33 2004
Maggiori informazioni sulla lista
flug-tech