[Primipassi] Conversione degli indirizzi

Aldo Podavini a.podavini@ldvsrl.it
Mer 18 Feb 2004 20:20:45 CET 

Nella mia risposta assumerò che in tutto il tuo messaggio tu abbia scritto 
sempre 100.x.x.x laddove avresti voluto invece scrivere 10.x.x.x, poichè gli 
indirizzi del tipo 192.168.0.0/16 (ossia 192.168.xxx.xxx) e quelli del tipo 
10.0.0.0/8 (ossia 10.xxx.xxx.xxx) sono "non ruotabili" su Internet, e quindi 
usati normalmente per le reti private, mentre gli altri indirizzi (e quindi 
anche 100.x.x.x) sono indirizzi potenzialmente pubblici, e quindi mi stupirei 
che nel tuo edificio li avessero usati per la rete locale.

Detto questo, direi comunque che sei sulla buona strada:

Scrive "manuel17@libero.it" <manuel17@libero.it>:
> Con una rete siffatta come faccio a fare andare in internet i pc della rete
> interna?
> Posso fare in modo che i pc della rete interna dall'esterno sembrino a tutti
> gl
> effetti i pc 100.1.1.201-100.1.1.206?
> Non basta fare un NAT con l'istruzione

>  iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.2/255.255.255.0 -j SNAT
> --to 100.1.1.202-100.1.1.206?

Più o meno... Lo SNAT va benissimo (ma perchè non un semplice -j MASQUERADE ? E 
comunque anche così funziona), ma non basta:
Innanzi tutto occorre che il forward sia abilitato. Cosa che controlli facendo:
cat /proc/sys/net/ipv4/ip_forward
Se il risultato è "0" devi inserire, in qualche script di inizializzazione:
echo 1>/proc/sys/net/ipv4/ip_forward

poi ovviamente occorre che tu non abbia qualche regola di filtraggio 
preimpostata che ti blocca il traffico. 
Verifica con:
iptables -L -v -n

Poi occorre che la tua linuxbox sappia dove instradare il traffico esterno, e 
quindi deve avere come gateway di default il router esterno:

route add default gw 10.1.1.1

> Come faccio a far passare tutto il traffico dai 5 pc win attraverso il pc
> linux?
> Non basta impostare come gateway l'indirizzo nella rete interna del pc
> linux?

Avendo fatto quanto detto sulla linuxbox sopra sì, è sufficiente.

> Tra l'altro i miei colleghi mi chiedevano se è possibile impedire in qualche
> modo (tramite il firewall) il download di file eseguibili (hanno paura di
> dialer
> e virus) da parte dei pc winxp.
> 

Non con il firewall, che non agisce a un livello così alto.
Per fare questo devi usare un proxy; puoi usare tranquillamente la stessa 
linuxbox facendoci girare squid.
Approfondisci, approfondisci... ;-)

Ciao
Aldo


-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/

Maggiori informazioni sulla lista primipassi