[Primipassi] nat, iptables e ipchains

Marco Ermini markoer@firenze.linux.it
Mer 21 Nov 2001 23:23:51 CET 

On Tue, 20 Nov 2001 19:07:43 +0100 Ufficio Ced <ced@comune.signa.fi.it> wrote:

> Salve primipassi@firenze.linux.it,
> 
>   avrei bisogno di un po' di chiarimenti per nat, iptables e ipchains.
>   Comincerei con un problema concreto:
>   io ho una rete privata della classe 10.0.0.0/255.255.255.0
>   ho una macchina linux che mi fa da firewall ed ho configurato
>   ipchains in maniera da mascherare gli indirizzi interni con una
>   semplice regola:
>   /bin/echo "1" > /proc/sys/net/ipv4/ip_forward
>   /sbin/modprobe ip_masq_ftp
>   /sbin/modprobe ip_masq_irc
>   /sbin/ipchains -M -S 7200 10 160
>   /sbin/ipchains -P forward DENY
>   /sbin/ipchains -A forward -s 10.0.0.0/24 -j MASQ
> 
>   ho un kernel 2.2.16-22

quindi mi sembra difficile tu possa usare iptables ;-) salvo aggiustamenti...

personalmente aggiornerei, se e' possibile, il kernel ad una versione piu'
recente, perche' la serie 2.2.x e' meno "brillante" in queste cose della 2.4.x


>   ...e tutto va bene
>   gli indirizzi pubblici della mia sottorete sono
>   xxx.xxx.xxx.97/255.255.255.240
>   adesso ho bisogno di 'redirigere' tutti i pacchetti provenienti da un
>   definito range di un'altra sottorete,

quale "altra"? qui il tuo discorso e' incasinato. dovresti spiegarti meglio:
ho anche il sospetto che, a meno che tu non abbia centinaia di PC, tu abbia
sbagliato anche le maschere nella tua rete interna ;-) ovviamente non
conoscendo i dettagli e' difficile da dire


>   destinati a due indirizzi della
>   mia sottorete pubblica (che non sono stati assegnati fisicamente a
>   nessuna macchina) verso due macchine della rete privata.

potresti spiegarti meglio?


>   Come devo fare?
>   Si tratta di routing tables o di forward o che altro?

Devi reindirizzare tutti i pacchetti provenienti da certi PC della rete
interna verso certi indirizzi (che non sono ancora mappati su alcun pc: non
capisco quindi l'utilita' della cosa). Ho capito bene? tra l'altro, parli di
*certe* porte o di *tutte* le porte? e qual e' lo scopo se e' possibile
chiedertelo?

se il tuo scopo e' creare una DMZ per "proteggere" la LAN locale da internet e
contemporaneamente potervi accedere (come mi sembra di intuire dai comandi che
hai deto), ho il sospetto (senza offesa) che ti stai incasinando per bene.
Oppure non ho capito cosa vuoi fare...

in ogni caso, se il tuo scopo e' creare una DMZ, devi agire sia sul routing
che su packet filtering.


[...]
> Ufficio Ced
> Comune di Signa
> p.zza della Repubblica 1
> 50058 Signa (FI)
> 0558794273
> http://www.comune.signa.fi.it
[...]

sei a due passi da casa mia (della mia ragazza). se ti serve aiuto vengo a
piedi ;-)


ciao

-- 
Marco Ermini
http://www.markoer.org
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)

Maggiori informazioni sulla lista primipassi