[Linux-Biella] Suse Firewall

leonardo LeOS buffa leos a bilug.linux.it
Mar 17 Apr 2007 10:00:34 CEST 

On Tue, 17 Apr 2007 09:49:22 +0200
"Claudio M." <cmaffio a bilug.linux.it> wrote:

> Saluti alla lista
> Ho il seguente problema che spero abbia una possibile soluzione che
> mi auguro non sia un "cambia distro/cambia sistema di firewall"!!!! :)


cambia sistema di f... ops :D

> Tutto funziona bene tranne una cosa

e vediamo un po'

> Mettiamo che ho una rete interna 192.168.0.0/24 e alcuni IP pubblici
> che sono sul FW, il firewall rigira vari servizi all'interno con
> regole del tipo <IP esterno><porta esterna> -> <IP interno><porta
> interna>... banale Se io nella mia rete interna metto ad es. un web
> interna>server e creo la regola 
> sul FW, dall'esterno raggiungo senza problemi il web server e tutto 
> funziona alla grande, se invece dall'INTERNO provo ad accedere a
> quello stesso IP esterno il server non e' raggiungibile, in pratica
> il FW non mi permette di uscire e rientrare

ovvio
ti dico come e' la regola in firewallese poi vedi se riesci ad
applicarla

ridirigi ogni richiesta verso l'ip pubblico:porta del
firewall sull'ip interno:porta della dmz

pure io ho normalmente lo stesso problema, che senza questa regola non
puoi bypassare, visto che il fw rigira di norma solo richieste dalla
rete pubblica verso la dmz
quindi la regola di base sarebbe:

ridirigi dalla rete pubblica verso IPpub:porta verso IPdmz:porta

e devi aggiungere:

ridirigi dalla LAN verso IPpub:porta verso PIdmz:porta


tradotto in iptablese potrebbe suonare come:

# per la pubblica
iptables -t nat -A PREROUTING -i $IFPUB -d $IPPUB -p tcp --dport 80 -j
DNAT --to-destination 192.168.1.50:80
iptables -I FORWARD -i $IFPUB -p tcp -d 192.168.1.50 --dport 80 -j
ACCEPT

# per la LAN
iptables -t nat -A PREROUTING -i $IFLAN -d $IPPUB -p tcp --dport 80 -j
DNAT
--to-destination 192.168.1.50:80
iptables -I FORWARD -i $IFLAN -p tcp -d 192.168.1.50 --dport 80 -j
ACCEPT


lo butto cosi' a naso visto che non ho modo di provare

ciao, leo


-- 
leonardo 'LeOS' buffa
IT security consultant
------------------------------
Linux Registered User: #135079
------------------------------

Maggiori informazioni sulla lista Linux