-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Ciao a tutti, mi assilla un problema:
se ho un firewall con IPTables che deve eseguire il NAT di alcuni server ~ e dei client verso Internet. Oltre alle politiche di filtering standard, sono configurate alcune regole di NAT che eseguono il masquerading dei client sul primo indirizzo IP della scheda esterna e il source nat di 2 server sugli altri due indirizzi esterni. La configurazione di rete è la seguente (gli indirizzi esterni ovviamente non sono reali):
eth0 192.168.141.1 eth1 111.222.333.1 eth1:1 111.222.333.2 eth1:2 111.222.333.3
Le regole di NAT sono le seguenti:
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.4 -j SNAT \ - --to-source 111.222.333.2 /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.5 -j SNAT \ - --to-source 111.222.333.3
DUBBI: 1) La prima regola esegue il masquerading di tutto ciò che esce dalla eth1. La seconda e la terza regola vengono processate comunque? Ovvero il target MASQUERADE è terminating come ACCEPT e DENY o è non-terminating come LOG?
2) Se spostassi la prima regola all'ultimo posto il masquerade verrebbe eseguito anche sugli indirizzi già manipolati dalle prime due rules (da quello che mo capito leggendo il man di iptables sembrerebbe che i target SNAT e DNAT siano terminating ma chiedo conferma)?
La soluzione sicura per ovviare al problema è quella di spostare la prima regola alla fine ed aggiungere l'opzione "-s 192.168.141.0/24" ma la cosa non è utilizzabile ai miei fini per altri motivi.
Ovviamente ho già cercato in Internet ma sinceramente non sono riuscito a dipanare il mio dubbio.
- -- Flavio Visentin
| \|||/ | @/0.0\@ | \ - / +------------------oOOo---oOOo------------------
There are only 10 types of people in this world: those who understand binary, and those who don't.
GPG Key: http://www.zipman.it/gpgkey.asc -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFBd8w3usUmHkh1cnoRAjgnAJ9Blly5YR6mbmdN+MXbnb2H3kM27QCfcYuU SRpfocFChZA07YcD0/LO0cM= =nWRD -----END PGP SIGNATURE----- -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx