linux user group brescia

On 28/03/2011 12:15, Rampage * wrote:
> Ciao ragazzi, mi è venuto un dubbio su iptables e il NATting.
> 
> ma io posso fare una regola di NAT selettiva in base all'ip sorgente?
> 
> ovvero.
> "girami il traffico sulla porta TCP X verso l'host interno 192.168.0.2
> SE l'ip sorgente della chiamata appartiene ad una determinata subnet?
> 
> -A PREROUTING -s [mia network sorgente]/24 -d [mia network di
> destinazione]/32 -p tcp -m tcp --dport 5900 -j DNAT --to-
> destination 192.168.8.11
> (ho più ip pubblici quindi ho messo l'intera subnet)

Non so dove vadano implementate queste regole, comunque AFAIK sì, si può fare.
Magari può non interessare o essere addirittura sbagliato controllare la
destinazione, non so come sia la topologia.

> oppure devo creare delle regole separate usando -A INPUT e fare il deny
> separatamente?

Mmmmm. Non ho capito cosa vuoi fare. Se la macchina filtrante é il
destinatario di default a parte la porta 5900, mettendo una policy di default
e/o dei deny espliciti ottieni di bloccare quello che ti interessa, ma non ha
niente a che vedere con il DNAT. Il DNAT, ove applicato in prerouting, fa
uscire il pacchetto dalle catene INPUT/OUTPUT e lo fa passare in FORWARD.

-- 
    Giuseppe "Cowo" Corbelli ~\/~ My software: http://cowo.yoda2000.net
-<! Non c'e' niente da dire in proposito. Tutto quello che uno deve fare e'
   colpire i tasti giusti al momento giusto, e lo strumento suona da solo. !>-
                                 J.S. Bach