[Tech] iptables e redirect (o quant'altro)

Lun 5 Lug 2004 17:56:21 CEST

A parte che di queste:

-A POSTROUTING -o eth1 -j MASQUERADE

ne basterebbe una sola comunque cosa intendi per 192.168.*.*:80? Tutti gli indirizzi ip della sottorete?
Se non sono troppo curioso mi spieghi a cosa ti serve una cosa del genere?
Non sarebbe piu' sensato fare una cosa del genere:
iptables -t nat -A PREROUTING -i ppp+ -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.99.2:80
che redirige tutte le connessioni in entrata verso la macchina dove hai il server web?

Saluti
Daniele

Franco Vite wrote:

>ciao cari e care,
>
>ho un gateway che mi dovrebbe redirigere tutte le connessioni alla 80 
>verso 192.168.*.*:80
>è tutto il pomeriggio che mi ci incisto, ma non sto cavando il ragno dal 
>buco.
>
>quello che penso di aver capito è che essendo la politica del mio 
>firewall sul DROP, in primis va aperta la 80.
>come?
>sulla catena INPUT o sulla PREROUTING?
>chiedo questo perchè poi il redirect va sulla PREROUTING (o così ho 
>capito leggendo i vari manuali di netfilter).
>
>cmq sia, io ho provato a fare queste cose, senza successo 
>(evidentemente):
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT \
>--to 192.168.*.*:80
>
>ma non funge
>allora ho, dopo altre letture, ho provato con:
>
>iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to \
>192.168.*.*:80
>
>ma niet!
>mi è stato consigliato a provare a vedere sulla catena di FORWARD (che 
>cmq è aperta) dato che:
>
>"Se questo non va, vuol dire che c'e' un problema in FORWARD.
>Prova 
>iptables -I FORWARD -i eth1 -p tcp --dport 80 -d 192.168.x.x -j ACCEPT"
>
>provato, ma minga.
>
>qualche idea?
>
>allego iptable-save (ripulito da tutte le prove, quindi vergine dal 
>punto di vista del redirect).
>
>  
>
>------------------------------------------------------------------------
>
># Generated by iptables-save v1.2.9 on Mon Jul  5 17:16:33 2004
>*nat
>:PREROUTING ACCEPT [559:59509]
>:POSTROUTING ACCEPT [0:0]
>:OUTPUT ACCEPT [4:272]
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>-A POSTROUTING -o eth1 -j MASQUERADE 
>COMMIT
># Completed on Mon Jul  5 17:16:33 2004
># Generated by iptables-save v1.2.9 on Mon Jul  5 17:16:33 2004
>*filter
>:INPUT DROP [0:0]
>:FORWARD ACCEPT [16298:7275967]
>:OUTPUT DROP [0:0]
>-A INPUT -i lo -j ACCEPT 
>-A INPUT -s 255.0.0.0/255.0.0.0 -i eth1 -j DROP 
>-A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP 
>-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP 
>-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP 
>-A INPUT -s 172.16.0.0/255.240.0.0 -i eth1 -j DROP 
>-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP 
>-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
>-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT 
>-A INPUT -i eth1 -m state --state INVALID,NEW -j DROP 
>-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP 
>-A INPUT -i eth0 -j ACCEPT 
>-A FORWARD -i eth1 -m state --state INVALID,NEW -j DROP 
>-A FORWARD -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP 
>-A FORWARD -m pkttype --pkt-type multicast -j DROP 
>-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
>-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
>-A OUTPUT -o lo -j ACCEPT 
>-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
>-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
>-A OUTPUT -j DROP 
>COMMIT
># Completed on Mon Jul  5 17:16:33 2004
>  
>