[Tech] iptables e redirect (o quant'altro)

Franco Vite franco@firenze.linux.it
Mar 6 Lug 2004 10:46:29 CEST 

Alle 10:06, martedì 6 luglio 2004, Gianni Bianchini ha scritto:
> Provo con la ricetta che uso io (policy di forward a DROP e eth1
> interfaccia esterna del gw)

che io continuo ad avere in ACCEPT dato che altrimenti non si esce più

> iptables -A PREROUTING -t nat -p tcp -s 0/0 -i eth1 -d $IP_ESTERNO \
> --dport 80 -j DNAT --to $IP_INTERNO_WEB_SERVER
> iptables -A FORWARD -p tcp -s 0/0 -d $IP_INTERNO_WEB_SERVER \
> --dport 80 -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -p tcp \
> -s $IP_INTERNO_WEB_SERVER -j ACCEPT
>
> Occhio che eventuali regole precedenti a queste non te le rendano
> inutili.

allora il risultato continua ad essere "connectio refused"

ecco l'attuale iptables-save:

# Generated by iptables-save v1.2.9 on Tue Jul  6 10:43:10 2004
*nat
:PREROUTING ACCEPT [37:5251]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [4:284]
-A PREROUTING -d <ip pubblico> -i eth1 -p tcp -m tcp --dport 80 -j DNAT  
--to-destination 192.168.1.70:80 
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT
# Completed on Tue Jul  6 10:43:10 2004
# Generated by iptables-save v1.2.9 on Tue Jul  6 10:43:10 2004
*filter
:INPUT DROP [5:196]
:FORWARD ACCEPT [1269:808376]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu 
-A FORWARD -d 192.168.1.70 -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -s 192.168.1.70 -p tcp -m state --state RELATED,ESTABLISHED 
-j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A OUTPUT -j DROP 
COMMIT
# Completed on Tue Jul  6 10:43:10 2004

-- 
Franco
"Certo bisogna farne di strada / da una ginnastica d'obbedienza /
fino ad un gesto molto più umano / che ti dia il senso della violenza /
però bisogna farne altrettanta / per diventare così coglioni / da non
riuscire più a capire / che non ci sono poteri buoni"       F. De André

Maggiori informazioni sulla lista flug-tech