[Linux-Biella] Firewall iptables

Mattia Rossi mattia a technologist.com
Mer 17 Giu 2009 14:43:50 CEST 

On Wed, 2009-06-17 at 13:51 +0200, Fiorenza Meini wrote:
> Ciao a tutti.
> Ho un firewall realizzato con iptables su un sistema con due schede di rete; su una c'è 
> l'indirizzo LAN e sull'altra (WAN) sono configurati 4 indirizzi pubblici di cui uno primario e 
> gli altri come alias (se così si può dire).
> 
> E' possibile fare in modo che il traffico generato dal firewall stesso (CHAIN OUTPUT) esca con 
> uno degli indirizzi pubblici impostati come alias sulla mia scheda di rete, che non sia uguale a 
> quello utilizzato per nattare i PC della rete locale?
> 
> Lo scopo di tutto ciò è avere due server di posta (uno Exchange e l'altro qmail) che si 
> presentino al mondo esterno con un indirizzo pubblico uno diverso dall'altro.
> 
> Ho guardato nella tabella NAT in OUTPUT, ma non ho possibilità di impostare SNAT.
> 
> La mia impressione è che tutto il traffico generato dal sistema linux stesso esca con 
> l'indirizzo primario della scheda di rete WAN, senza avere la possibilità di variare la cosa...
> 


Ciao Fiorenza,
più che con iptables credo dovrai lavorare con iproute2.

Se il servizio da SNATtare fosse su un secondo server interno, allora
potresti usare una regola di iptables, ma siccome (come mi sembra di
capire) il servizio qmail è sul firewall stesso, non hai bisogno di
usare NAT, devi "solo" dire al firewall di utilizzare un certo indirizzo
IP piuttosto che un altro (come source ip) in particolari condizioni.

Per fare questo dovrai documentarti un po' su ip route, in sintesi
(molta sintesi) dovrai creare due tabelle di routing diverse, una per il
traffico che viene dalla tua LAN, che verrà nattato e userà x.x.x.1 come
source address, l'altra per il traffico che verrà generato sul firewall,
che non verrà nattato, ma userà come source address x.x.x.2.

All'inizio è un pò un casino, e non ho mai trovato un solo howto che
spieghi bene il funzionamento, anche perchè le possibili applicazioni
sono infinite.

Un pò di link:
 http://linux-ip.net/html/tools-ip-route.html (esempio D.19) per il tuo
caso specifico, ma prima sarebbe meglio leggere

http://lartc.org/howto/
almeno il capitolo 3 e, per il tuo caso, il capitolo 4.2.1 (split
access). Non è proprio quello che devi fare tu (il tuo caso è un
sottoinsieme di quello spiegato nell'esempio) ma è la cosa più vicina al
tuo caso che sia riuscito a trovare.

Ciao

Mattia



-- 
---MR.-

Maggiori informazioni sulla lista Linux