[Linux-Biella] route tra reti

Ax andre.noris a tiscali.it
Sab 13 Set 2008 12:09:36 CEST 

Manfredo Enrico - Quadra Studio Web ha scritto:
> Ax ha scritto:
>   
>>>        
>>> #Regolo il traffico dalla due reti interne
>>> iptables -A INPUT -s ${LOCALNET}/24 -d ${WANNET}/24 -j ACCEPT
>>> iptables -A FORWARD -s ${LOCALNET}/24 -d ${WANNET}/24 -j ACCEPT
>>> iptables -A INPUT -s ${WANNET}/24 -d ${LOCALNET}/24 -j ACCEPT
>>> iptables -A FORWARD -s ${WANNET}/24 -d ${LOCALNET}/24 -j ACCEPT
>>>  
>>>   
>>>     
>>>       
>> questa non l'ho capita. ma se i client connessi ad ap vogliono accedere 
>> in ssh al server che indirizzo mettono?
>> quello reale della lan o l'equivalente della wan che poi verrà pattata 
>> dalla regola che hai scritto in prerouting?
>>   
>>     
>
> i client che hanno accesso da ap non accedono in ssh a nulla
> devono solo poter accedere al limite alla porta 80 del server (c'è un 
> applicazione web che gira) e alla 20-21 per caricare dati ftp
>   
ok, ho beccato quella sbagliata! il senso però era: a qualche servizio 
accedono e se devono connettersi alla iface 192.168.2.2:80 che poi sarà 
pattata non c'è bisogno di mettere le regole

#Regolo il traffico dalla due reti interne

perché se tutto va bene su ogni interfaccia gireranno le rispettive 
reti. se vuoi che non girino altre reti al di fuori di quelle assegnate 
al limite farei:

iptables -A INPUT -i $iface_wan -s ${WANNET}/24 -j ACCEPT

iptables -A INPUT -i $iface_wan -d ${WANNET}/24 -j ACCEPT

iptables -A FORWARD -i $iface_wan -s ${WANNET}/24 -j ACCEPT

iptables -A FORWARD -i $iface_wan -d ${WANNET}/24 -j ACCEPT

e le ripererei tutte e quattro per la LAN
>>>    
>>> iptables -A FORWARD -i $WAN -m state --state RELATED,ESTABLISHED -j ACCEPT
>>> iptables -A FORWARD -i $LAN -m state --state NEW,RELATED,ESTABLISHED -j 
>>> ACCEPT
>>> iptables -A FORWARD -p icmp --icmp-type 8 -m length --length 128:65535 
>>> -j DROP
>>> iptables -A FORWARD -m state --state INVALID -i $LAN -j REJECT
>>>    
>>> iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
>>>    
>>>    
>>> # Imposto il nat e maschero la rete interna
>>> iptables -A POSTROUTING -t nat -s ${LOCALNET}/24 -j MASQUERADE
>>>  
>>> iptables -t nat -A PREROUTING -p tcp --dport 22022 -j DNAT 
>>> --to-destination ${SERVER}:22
>>> iptables -t nat -A PREROUTING -p tcp --dport 22122 -j DNAT 
>>> --to-destination ${BACKUP}:22
>>> iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT 
>>> --to-destination ${CENTRALINO}:443
>>>   
>>>     
>>>       
>> in questa catena hai volutamente omesso -i $iface?
>>
>>   
>>     
> Si, nel senso che non so se devo metterla per forza... vivo un pò 
> nell'ignoranza :-P
>   

ma se non la metti, fissi la regola a tutte le interfaccie quindi non so 
che senso abbia fare

iptables -t nat -A PREROUTING -p tcp --dport 22022 -j DNAT --to-destination ${SERVER}:22

sulla $iface_lan

io la metterei sicuramente.

Maggiori informazioni sulla lista Linux