linux user group brescia

On Wed, Mar 03, 2004 at 03:25:01PM +0100, marco ghidinelli wrote:
> > non riesco ad attivare il forwarding dall'esterno della rete ad una
> > macchina interna... le regole di iptables mi sembrano giuste (voglio
> > forwardare dalla 10022 del server a SSH e la 2401 per CVS).
> > mando un estratto del file delle regole...
> > qualcuno mi sa aiutare?
> > 
> > *filter
> > :INPUT DROP [0:0]
> > :FORWARD DROP [0:0]
> > :OUTPUT DROP [0:0]
> > :ICMPPKT - [0:0]
> > -A INPUT -i lo -j ACCEPT
> > -A INPUT -p icmp -j ICMPPKT
> > -A FORWARD -s 192.168.1.7 -j ACCEPT
> > -A FORWARD -d 192.168.1.7 -j ACCEPT
> che senso ha questa ^^^^^^ regola?
Che la forward e' a DROP e bisogna dirgli di far passare il traffico per
quella macchina.
 
> > -A FORWARD -p tcp -m tcp --dport 2401 -j ACCEPT
> > -A FORWARD -p tcp -m tcp --dport 10022 -j ACCEPT
> e queste ^^^^^ due? se non specifichi la -i rischi anche di fare dei danni.
Ci hai raggione.

> > COMMIT
> > 
> > * nat
> > :PREROUTING ACCEPT [0:0]
> > :POSTROUTING ACCEPT [0:0]
> > :OUTPUT ACCEPT [0:0]
> > -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT
> > --to-ports 3128
> 
> questa ^^^^ non centra nulla
Serve per il transparent proxy.

> > -A PREROUTING -i eth0 -p tcp -m tcp --dport 2401 -j DNAT
> > --to-destination 192.168.1.7:2401
> 
> che cos'e' -m tcp? serve a qualcosa? sopra non hai specificato gia' di
> forwardare tutto il traffico verso la 192.168.1.7 ? perche' ora forwardi
> solo una porta? secondo me le regole sono in conflitto
No. Questa serve per fare il DNAT. L'altra era per far passare il traffico
nella forward.

Sergio, vedi bene che nel file delle regole gia' esistenti c'e' almeno un
altro esempio di cose come questa. Fai prima a copiarlo. Poi cerchi di
capirlo.
La roba arriva alla macchina interna o no?
-- 
  	Giuseppe "Cowo" Corbelli ~\/~ My software: http://cowo.yoda2000.net
  -<! The Moment Is Now In All History, The Time Has Arrived And This Is The
  		One Place To Be. !>-
  			Savatage - This Is The Time