[Tech] iptables e redirect (o quant'altro)
Aldo Podavini
a.podavini@ldvsrl.it
Lun 5 Lug 2004 18:04:27 CEST
Ma le regole di routing come sono fatte ?
La tua macchina ha una sola eth o due ?
Facci vedere:
ifconfig
ip route sh
Aldo
Franco Vite wrote:
>ciao cari e care,
>
>ho un gateway che mi dovrebbe redirigere tutte le connessioni alla 80
>verso 192.168.*.*:80
>è tutto il pomeriggio che mi ci incisto, ma non sto cavando il ragno dal
>buco.
>
>quello che penso di aver capito è che essendo la politica del mio
>firewall sul DROP, in primis va aperta la 80.
>come?
>sulla catena INPUT o sulla PREROUTING?
>chiedo questo perchè poi il redirect va sulla PREROUTING (o così ho
>capito leggendo i vari manuali di netfilter).
>
>cmq sia, io ho provato a fare queste cose, senza successo
>(evidentemente):
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT \
>--to 192.168.*.*:80
>
>ma non funge
>allora ho, dopo altre letture, ho provato con:
>
>iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to \
>192.168.*.*:80
>
>ma niet!
>mi è stato consigliato a provare a vedere sulla catena di FORWARD (che
>cmq è aperta) dato che:
>
>"Se questo non va, vuol dire che c'e' un problema in FORWARD.
>Prova
>iptables -I FORWARD -i eth1 -p tcp --dport 80 -d 192.168.x.x -j ACCEPT"
>
>provato, ma minga.
>
>qualche idea?
>
>allego iptable-save (ripulito da tutte le prove, quindi vergine dal
>punto di vista del redirect).
>
>
>
>------------------------------------------------------------------------
>
># Generated by iptables-save v1.2.9 on Mon Jul 5 17:16:33 2004
>*nat
>:PREROUTING ACCEPT [559:59509]
>:POSTROUTING ACCEPT [0:0]
>:OUTPUT ACCEPT [4:272]
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>COMMIT
># Completed on Mon Jul 5 17:16:33 2004
># Generated by iptables-save v1.2.9 on Mon Jul 5 17:16:33 2004
>*filter
>:INPUT DROP [0:0]
>:FORWARD ACCEPT [16298:7275967]
>:OUTPUT DROP [0:0]
>-A INPUT -i lo -j ACCEPT
>-A INPUT -s 255.0.0.0/255.0.0.0 -i eth1 -j DROP
>-A INPUT -s 0.0.0.0/255.0.0.0 -i eth1 -j DROP
>-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
>-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP
>-A INPUT -s 172.16.0.0/255.240.0.0 -i eth1 -j DROP
>-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
>-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
>-A INPUT -i eth1 -m state --state INVALID,NEW -j DROP
>-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP
>-A INPUT -i eth0 -j ACCEPT
>-A FORWARD -i eth1 -m state --state INVALID,NEW -j DROP
>-A FORWARD -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP
>-A FORWARD -m pkttype --pkt-type multicast -j DROP
>-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
>-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A OUTPUT -o lo -j ACCEPT
>-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
>-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
>-A OUTPUT -j DROP
>COMMIT
># Completed on Mon Jul 5 17:16:33 2004
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>FLUG - Discussioni tecniche - tech@firenze.linux.it
>URL: http://lists.firenze.linux.it/mailman/listinfo/tech
>Archivio: http://lists.firenze.linux.it/pipermail/tech
>Ricerca nell'archivio: http://www.firenze.linux.it/search
>
Maggiori informazioni sulla lista
flug-tech