[Linux-Biella] Port forwarding

Ven 19 Set 2008 14:12:10 CEST

Enrico "Gabubbi" Manfredo wrote:
> Ciao a tutti, problema forse banale ma che non riesco a risolvere.
>
> Ho bisogno di fare il port forwarding di un sito in ssl che è presente 
> all'interno di una rete.
> L'indirizzo in questione è 192.168.2.2 (più sotto chiamato centralino).
> Se provo ad indirizzarmi la porta 80 tutto va.
> Se provo ad indirizzarmi la porta 443 (ssl) non succede un piffero e mi 
> dice connessione rifiutata.
> Ho provato a cambiare la porta sulla pubblica (4443, 23, 80) ecc per 
> vedere se il problema era un errore di configurazione del router... ma 
> nulla.
> Ho provato varie combinazioni di sintassi.. nulla.
> Ho provato varie posizioni delle dichiarzioni... nulla...
>
> vi posto il codice che interessa al caso... se trovate "sbavature" nelle 
> descrizioni è perchè a furia di cancellare e rifare qualcosa è scappato
>
>
> #!/bin/bash
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> iptables -F
> iptables -F -t nat
> iptables -X
>
> LAN=eth1
> WAN=eth2
> LOCALNET=192.168.2.0
> WANNET=192.168.1.0
> SERVER=192.168.2.1
> CENTRALINO=192.168.2.2
> BACKUP=192.168.2.3
>
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT DROP
>
> # Permetto l'ingresso completo dalla lan
> iptables -A INPUT -i $LAN -j ACCEPT
>
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type 8 -m length --length 128:65535 -j DROP
>
> # Permetto l'ingresso dalla porta 22022 ma loggando il traffico
> iptables -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 22 -j ACCEPT
>
> # Permetto l'ingresso dalla porta 80
> iptables -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 80 -j ACCEPT
>
> iptables -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 443 -j ACCEPT
>
> # Permetto l'ingresso dal flusso FTP
> iptables -A INPUT -i $WAN -p tcp --dport 20:21 -j ACCEPT
> iptables -A FORWARD -i $WAN -p tcp --dport 20:21 -j ACCEPT
>
> iptables -A FORWARD -i $WAN -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i $LAN -m state --state NEW,RELATED,ESTABLISHED -j 
> ACCEPT
> iptables -A FORWARD -p icmp --icmp-type 8 -m length --length 128:65535 
> -j DROP
> # iptables -A FORWARD -m state --state INVALID -i $LAN -j REJECT
>
> iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
>
> # Imposto il nat e maschero la rete interna
> iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 443 -j DNAT 
> --to-destination ${CENTRALINO}:443
> iptables -A POSTROUTING -t nat -s ${LOCALNET}/24 -j MASQUERADE
>   
a vederlo cosi' pare tutto ok
un sano sniffing di rete cosa ti dice?
non vorrei che all'ssp serva in realta' una qualche altra porta 
temporanea per i certificati, non so

-- 
Belin, che vitta du belin, mi g'ho l'öxello pin,
cianin, cianin, porto via o belin...