[Linuxtrent] Iptables e opzioni di NAT

• From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 21 Oct 2004 16:55:25 +0200

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao a tutti,
mi assilla un problema:

se ho un firewall con IPTables che deve eseguire il NAT di alcuni server
~ e dei client verso Internet.
Oltre alle politiche di filtering standard, sono configurate alcune
regole di NAT che eseguono il masquerading dei client sul primo
indirizzo IP della scheda esterna e il source nat di 2 server sugli
altri due indirizzi esterni.
La configurazione di rete è la seguente (gli indirizzi esterni
ovviamente non sono reali):

eth0    192.168.141.1
eth1    111.222.333.1
eth1:1  111.222.333.2
eth1:2  111.222.333.3

Le regole di NAT sono le seguenti:

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.4 -j SNAT \
- --to-source 111.222.333.2
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.5 -j SNAT \
- --to-source 111.222.333.3

DUBBI:
1) La prima regola esegue il masquerading di tutto ciò che esce dalla
eth1. La seconda e la terza regola vengono processate comunque? Ovvero
il target MASQUERADE è terminating come ACCEPT e DENY o è
non-terminating come LOG?

2) Se spostassi la prima regola all'ultimo posto il masquerade verrebbe
eseguito anche sugli indirizzi già manipolati dalle prime due rules (da
quello che mo capito leggendo il man di iptables sembrerebbe che i
target SNAT e DNAT siano terminating ma chiedo conferma)?

La soluzione sicura per ovviare al problema è quella di spostare la
prima regola alla fine ed aggiungere l'opzione "-s 192.168.141.0/24" ma
la cosa non è utilizzabile ai miei fini per altri motivi.

Ovviamente ho già cercato in Internet ma sinceramente non sono riuscito
a dipanare il mio dubbio.

- --
Flavio Visentin

|                     \|||/
|                    @/0.0\@
|                     \ - /
+------------------oOOo---oOOo------------------

There are only 10 types of people in this world:
those who understand binary, and those who don't.

GPG Key: http://www.zipman.it/gpgkey.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFBd8w3usUmHkh1cnoRAjgnAJ9Blly5YR6mbmdN+MXbnb2H3kM27QCfcYuU
SRpfocFChZA07YcD0/LO0cM=
=nWRD
-----END PGP SIGNATURE-----
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Iptables e opzioni di NAT
    • From: Giuliano Natali (el Diaolin)

Other related posts:

• » [Linuxtrent] Iptables e opzioni di NAT
• » [Linuxtrent] Re: Iptables e opzioni di NAT
• » [Linuxtrent] Re: Iptables e opzioni di NAT

1. Home
2. linuxtrent
3. Archive
4. 10-2004

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---