DNAT con Iptables
Alexander Fortin
postmaster a turboden.net
Ven 18 Nov 2005 17:59:24 UTC
Il giorno ven, 18/11/2005 alle 18.47 +0100,
nicola.gatta a yoda.ing.unibs.it ha scritto:
> Se non ricordo male nel target DNAT la direttiva era --to-destination,
> non --to (che si applica invece ad altri target come SAME)
Ho provato con entrambi, cioè, ho trovato esempi sia l'una che l'altra
dicitura... comunque per scaramanzia riprovo con --to-destination.
> > C'è qualche flag particolare da settare nel /proc ?
> > L'unico che sapevo (x il masquerading) è settato a 1:
> > serverA:$ cat /proc/sys/net/ipv4/ip_forward
> > 1
> Questo non e' per il masquerading, ma per il forwarding che sono cose
> diverse :-P
Vero. Ma se vuoi che funzioni il masq devi avere quel flag a 1,
fidati ;-)
> > Qualche idea?
>
> Controllato la catena di Forward che permetta ai pacchetti di passare?
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8000
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
> I pacchetti destinati a macchine diverse dal firewall
> attraversano le catene PREROUTING, FORWARD e POSTROUTING
Yesss, quindi la catena INPUT non dovrebbe essere un problema, right?
Per la cronaca, non è un firewall, semplicemente un server su cui ci
sono un po' di servizi, tra cui apache.
> Detto questo, prova a fare un telnet e controlla sul server B cosa
> succede (il syn ci arriva o no?)
Non ho accesso al server-B per ora... Comunque telnettandomi dalla rete
locale sulla 8000 il servizio è aperto.
$ telnet 192.168.0.253 8000
Trying 192.168.0.253...
Connected to 192.168.0.253.
Escape character is '^]'.
> PS: ma la macchina A, la macchina B e la macchina da cui fai le prove
> sono sulla stessa rete?
Sì.
Ciao!!
--
"L'uomo si rivolgeva a lui in lingua straniera: iotico.
Le parole avevano senso. Tutte le piccole cose avevano un senso;
soltanto l'intero, la totalità, non l'aveva"
- Dispossessed (Ursula Le Guin)
*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*
GnuPG Public Key ID : 2280FDE -- Keyserver : keyserver.kjsl.com
Fingerprint : AE81 085D 5AD5 26F4 E61C A4D2 B753 C188 2280 FDEA
Crittografia? Che roba è?! ---> http://www.gnupg.org/(it)/index.html
_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_/*\_
Alexander Fortin <alexander.fortin a gmail.com>
HomePage http://www.alienshell.org - ICQ #18654543
Maggiori informazioni sulla lista
Lug
|