linux user group brescia
immagine del castello

Archivio della mailing list

DNAT con Iptables

Alexander Fortin postmaster a turboden.net
Ven 18 Nov 2005 17:59:24 UTC 
Il giorno ven, 18/11/2005 alle 18.47 +0100,
nicola.gatta a yoda.ing.unibs.it ha scritto:
> Se non ricordo male nel target DNAT la direttiva era --to-destination,
> non --to (che si applica invece ad altri target come SAME)

Ho provato con entrambi, cioè, ho trovato esempi sia l'una che l'altra
dicitura... comunque per scaramanzia riprovo con --to-destination.

> > C'è qualche flag particolare da settare nel /proc ?
> > L'unico che sapevo (x il masquerading) è settato a 1:
> > serverA:$ cat /proc/sys/net/ipv4/ip_forward
> > 1
> Questo non e' per il masquerading, ma per il forwarding che sono cose
> diverse :-P

Vero. Ma se vuoi che funzioni il masq devi avere quel flag a 1,
fidati ;-)

> > Qualche idea?
> 
> Controllato la catena di Forward che permetta ai pacchetti di passare?

Chain FORWARD (policy DROP)
target  prot opt source     destination         
ACCEPT  tcp  --  0.0.0.0/0  0.0.0.0/0   state NEW tcp dpt:8000 
ACCEPT  all  --  0.0.0.0/0  0.0.0.0/0   state RELATED,ESTABLISHED

> I pacchetti destinati a macchine diverse dal firewall
> attraversano le catene PREROUTING, FORWARD e POSTROUTING

Yesss, quindi la catena INPUT non dovrebbe essere un problema, right?
Per la cronaca, non è un firewall, semplicemente un server su cui ci
sono un po' di servizi, tra cui apache.

> Detto questo, prova a fare un telnet e controlla sul server B cosa
> succede (il syn ci arriva o no?)

Non ho accesso al server-B per ora... Comunque telnettandomi dalla rete
locale sulla 8000 il servizio è aperto.

$ telnet 192.168.0.253 8000
Trying 192.168.0.253...
Connected to 192.168.0.253.
Escape character is '^]'.

> PS: ma la macchina A, la macchina B e la macchina da cui fai le prove
> sono sulla stessa rete?

Sì.

Ciao!!

-- 
"L'uomo si rivolgeva a lui in lingua straniera: iotico.
Le parole avevano senso. Tutte le piccole cose avevano un senso;
soltanto l'intero, la totalità, non l'aveva"
        - Dispossessed (Ursula Le Guin)
*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*
  GnuPG Public Key ID : 2280FDE  --  Keyserver : keyserver.kjsl.com  
  Fingerprint :  AE81 085D 5AD5 26F4 E61C  A4D2 B753 C188 2280 FDEA
Crittografia? Che roba è?! ---> http://www.gnupg.org/(it)/index.html
_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_
Alexander Fortin  <alexander.fortin a gmail.com>
HomePage http://www.alienshell.org - ICQ #18654543

Maggiori informazioni sulla lista Lug