R: [glux] mangle, nat o rinetd ?

gsaffioti gsaffioti@wingstech.it
Mon, 18 Nov 2002 14:39:48 +0100 

Giulio@tlmservice.it writes: 

>> APSoft ha scritto:
>> Oggetto: [glux] mangle, nat o rinetd ?
> 
>> ciao a tutti gli iscritti
>> sto configurando un firewall con ipables, nel vecchio usavo
>> ipchains per le
>> regole ed il demone rinetd per reindirizzare delle richieste particolare
>> provenienti dall'esterno e dirette sulla lan privata interna.
>> Posso fare la
>> stessa cosa con la tabella mangle o mi consigliate comunque di
>> continuare ad
>> utilizzare rinetd ? Che differenze ci sono ?
> 
 

> Ciao, non conosco ipchains nč rinetd, so che con iptables fai tutto
> con le regole. Mangle serve per cambiare il TOS e altre cose di un
> pacchetto ed č la prima regola che incontra un pacchetto, per reindirizzare
> ti conviene usare dnat in prerouting, secondo me.
> Io faccio cosė per esempio per usare Terminal Server in DMZ da internet,
> chiamo l'IP pubblico e con IPTABLES in prerouting dnatto spedendo le
> richieste
> all'ip locale del server NT. 
> 
>> grazie, APSoft
> 
> Prego, io ho fatto cosė, ci sono sicuramente altre
> soluzioni, magari migliori. Non č molto che smanetto
> con iptables e sto imparando. Se hai qualche dritta
> da darmi o qualche domanda da farmi (sempre sia in
> grado di rispondere), sono qui. 
> 
> 
> Ciao 
> 
> 
> _______________________________________________
> glux mailing list
> glux@lists.linux.it
> http://lists.linux.it/listinfo/glux
> http://www.lecco.linux.it
 

 

Ciao in merito a rinetd posso dirti poco, iptables e' per cosi' dire 
un'estensione di ipchains fa' capo al modulo netfilter del kernel ed ti 
permette di fare tutte le operazioni di indirizzamento reindirizzamento
mascheramento e ...... insomma tutto cio' che si puo' fare nel routing.
devi usare comunque la tabella di "NAT"
Per le connessioni in uscita dalla tua rete devi usare il " SNAT source nat 
e postrouting per mascherare le connessioni in uscuta" per le connessioni in 
entrata nella tua rete devi usare " DNAT destination nat e prerouting che 
indirizza i pacchetti alla macchina che li ha richiesti" cosi fcendo avrai: 

iptables -t NAT -a PREROUTING -o $INET_IFACE -d $HTTP_IP --dport 80 \
 -j DNAT --to-destination $DMZ_HTTP_IP
Questa regola forwarda le connessioni da internet ad una macchina in una 
DMZ.
Dove inet e' l'ip della tua scheda ethernet che ti collega ad internet 
http_ip e' il tuo ip e dmz_http_ip e' l'indirizzo in questo caso di una 
demilitarized zone 

usa -i per uscire con POSTROUTING ED -s per source. 


a questo indirizzo : www.netfilter.org trovi tutta la documentazione di cui 
puoi aver bisogno . 

Ciao. 

Go. 


Saffioti Goffredo sysadmin-netadmin
WinGsTecH S.r.L. via SIRTORI n°9 Monza (MILANO) IT Tel. 039.2326766