[Linux-Biella] route tra reti
Ax
andre.noris a tiscali.it
Sab 13 Set 2008 10:44:40 CEST
Manfredo Enrico - Quadra Studio Web ha scritto:
alcune considerazioni sperando di aver capito.
> Il problema č questo.
> Ho piazzato un fw linux tra il router e una rete in un ufficio.
> Fa quasi tutto quello che mi serve se non fosse che il router ha anche
> la funzione di access point wireless, e che quindi, i pc che si
> collegano attraverso di esso rimangono ovviamente tagliati fuori.
> Mi
> servirebbe creare una regola sul fw in modo che permetta di instradare
> le richieste delle reti locali. Lo schema č questo:
>
>
> router (AP) 192.168.1.1/24
>
> WAN-fW 192.168.1.2/24
> LAN-FW 192.168.2.1/24
>
>
> io avevo giā provato a scrivere questo:
>
> iptables -F -t nat
> iptables -X
>
> LAN=eth1
> WAN=eth2
> LOCALNET=192.168.2.0
> WANNET=192.168.1.0
> SERVER=192.168.2.1
> CENTRALINO=192.168.2.2
> BACKUP=192.168.2.3
> # Permetto l'ingresso completo dalla lan
> iptables -A INPUT -i $LAN -j ACCEPT
>
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -m length --length 128:65535 -j
> DROP
>
> # Permetto l'ingresso dalla porta 22022 ma loggando il traffico
> iptables -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 22 -j ACCEPT
>
> # Permetto l'ingresso dalla porta 80
> iptables -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 80 -j ACCEPT
>
> #Permetto l'ingresso dal flusso FTP
> iptables -A INPUT -i $WAN -p tcp --dport 20:21 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 20:21 -j ACCEPT
>
> #Regolo il traffico dalla due reti interne
> iptables -A INPUT -s ${LOCALNET}/24 -d ${WANNET}/24 -j ACCEPT
> iptables -A FORWARD -s ${LOCALNET}/24 -d ${WANNET}/24 -j ACCEPT
> iptables -A INPUT -s ${WANNET}/24 -d ${LOCALNET}/24 -j ACCEPT
> iptables -A FORWARD -s ${WANNET}/24 -d ${LOCALNET}/24 -j ACCEPT
>
>
questa non l'ho capita. ma se i client connessi ad ap vogliono accedere
in ssh al server che indirizzo mettono?
quello reale della lan o l'equivalente della wan che poi verrā pattata
dalla regola che hai scritto in prerouting?
>
> iptables -A FORWARD -i $WAN -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i $LAN -m state --state NEW,RELATED,ESTABLISHED -j
> ACCEPT
> iptables -A FORWARD -p icmp --icmp-type 8 -m length --length 128:65535
> -j DROP
> iptables -A FORWARD -m state --state INVALID -i $LAN -j REJECT
>
> iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
>
>
> # Imposto il nat e maschero la rete interna
> iptables -A POSTROUTING -t nat -s ${LOCALNET}/24 -j MASQUERADE
>
> iptables -t nat -A PREROUTING -p tcp --dport 22022 -j DNAT
> --to-destination ${SERVER}:22
> iptables -t nat -A PREROUTING -p tcp --dport 22122 -j DNAT
> --to-destination ${BACKUP}:22
> iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT
> --to-destination ${CENTRALINO}:443
>
in questa catena hai volutamente omesso -i $iface?
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT DROP
>
> ma ovviamente non fa quello che mi aspetto
> _______________________________________________
>
Maggiori informazioni sulla lista
Linux