[Linux-Biella] [Risolto] regole iptables

Claudio M. cmaffio a bilug.it
Gio 24 Set 2009 09:59:20 CEST 

Il giovedì 24 settembre 2009 09:30:49 Fiorenza Meini ha scritto:
> On Thu Sep 24  8:35 , 'Claudio M.' <cmaffio a bilug.it> sent:
> >E' possibile con iptables rigirare le richieste per un IP esterno ad una
> >
> >macchina interna alla rete?
> >
> >
> >
> >Mi spiego
> >
> >Rete interna 192.168.1.0/24
> >
> >Dalla macchina 192.168.1.1 interna mi voglio collegare all'IP 1.2.3.4
> > esterno
> >
> >alla mia rete sulla porta 80
> >
> >Vorrei che questa richiesta venisse rigirata alla macchina 192.168.1.2
> > porta
> >
> >80 interna alla rete
> >
> >
> >
> >E' possibile? come si fa?
>
> Secondo me sì.
> Io ho fatto una cosa simile (ovviamente copiando un esempio trovato su
> Internet) per redirigere ogni connessione Ftp proveniente dalla Lan e
> destinata alla rete pubblica, al proxy ftp residente sulla macchina
> firewall stessa.
> Avevo utilizzato questa regola:
> $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -d ! $LANIP --dport 21 -j
> REDIRECT --to-ports 21
>
> Eth0 è la scheda di rete verso la Lan
> LANIP è l'indirizzo del firewall lato LAN.
>
> Magari ti può essere d'aiuto, specificando dop "-j REDIRECT" oltre la porta
> anche il PC...

Il redirect funziona quando il pacchetto viene rigirato sul firewall stesso

Comunque ho trovato la soluzione, con due "semplici" regolette di iptables si 
risolve tutto

iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 80 -i eth2 -j 
DNAT --to 192.168.1.2:80

iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.2 --dport 80 -o eth2 -s 
192.168.1.0/24 -j SNAT --to-source 192.168.1.254

Dove eth2 e' la porta verso la rete interna
192.168.1.254 e' l'IP interno del FW
La prima regola redirige i pacchetti verso il server interno facendo NAT
La seconda regola fa in modo che i pacchetti di ritorno dal server interno 
ritornino al FW per poi essere rigirati al client
Senza la seconda regola il pacchetto viene correttamente rigirato al server 
interno ma questo risponde direttamente al client che non sa cosa farsene 
perche' stava "parlando" con il FW e non direttamente con il server

Semplice no? :D

Bye


-- 
Contatto skype: cmaffio
Linux User: #151147
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  197 bytes
Descrizione: This is a digitally signed message part.
Url:         http://ml.bilug.linux.it/pipermail/linux/attachments/20090924/2270101e/attachment.bin

Maggiori informazioni sulla lista Linux