[Linux-Biella] Firewall iptables

[Claudio M.]

Il mercoledì 17 giugno 2009 13:51:48 Fiorenza Meini ha scritto:
> Ciao a tutti.
> Ho un firewall realizzato con iptables su un sistema con due schede di
> rete; su una c'è l'indirizzo LAN e sull'altra (WAN) sono configurati 4
> indirizzi pubblici di cui uno primario e gli altri come alias (se così si
> può dire).
>
> E' possibile fare in modo che il traffico generato dal firewall stesso
> (CHAIN OUTPUT) esca con uno degli indirizzi pubblici impostati come alias
> sulla mia scheda di rete, che non sia uguale a quello utilizzato per
> nattare i PC della rete locale?
>
> Lo scopo di tutto ciò è avere due server di posta (uno Exchange e l'altro
> qmail) che si presentino al mondo esterno con un indirizzo pubblico uno
> diverso dall'altro.
>
> Ho guardato nella tabella NAT in OUTPUT, ma non ho possibilità di
> impostare SNAT.
>
> La mia impressione è che tutto il traffico generato dal sistema linux
> stesso esca con l'indirizzo primario della scheda di rete WAN, senza avere
> la possibilità di variare la cosa...

postrouting :)

iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s <IP int> --to-source <IP 
ext>
tutto ciò che arriva dalla macchina interna con IP int esce dal FW sulla 
scheda eth0 con l'IP indicato in IP ext

iptables -t nat -A POSTROUTING -j SNAT -o eth0 -p TCP --dport 25 --to-source 
<IP ext>
Come prima ma invece che matchare sull IP int lo fa sulla porta
Ovviamente le due cose si posso unire

Bye

-- 
Contatto skype: cmaffio
Linux User #151147

L'utilizzo di tastiere o di mouse
puo' causare seri infortuni o disturbi"
(dal manuale della "MS Keyboard Elite for Bluetooth")
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  197 bytes
Descrizione: This is a digitally signed message part.
Url:         http://ml.bilug.linux.it/pipermail/linux/attachments/20090617/9a434818/attachment.bin