[Linuxtrent] Re: Iptables e opzioni di NAT

• From: "Giuliano Natali (el Diaolin)" <diaolin@xxxxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 21 Oct 2004 17:04:09 +0200 (CEST)

Flavio Visentin ha scritto:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Ciao a tutti,
> mi assilla un problema:
>
> se ho un firewall con IPTables che deve eseguire il NAT di alcuni server
> ~ e dei client verso Internet.
> Oltre alle politiche di filtering standard, sono configurate alcune
> regole di NAT che eseguono il masquerading dei client sul primo
> indirizzo IP della scheda esterna e il source nat di 2 server sugli
> altri due indirizzi esterni.
> La configurazione di rete è la seguente (gli indirizzi esterni
> ovviamente non sono reali):
>
> eth0  192.168.141.1
> eth1  111.222.333.1
> eth1:1        111.222.333.2
> eth1:2        111.222.333.3
>
> Le regole di NAT sono le seguenti:
>
> /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.4 -j SNAT \
> - --to-source 111.222.333.2
> /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.5 -j SNAT \
> - --to-source 111.222.333.3
>
> DUBBI:
> 1) La prima regola esegue il masquerading di tutto ciò che esce dalla
> eth1. La seconda e la terza regola vengono processate comunque? Ovvero
> il target MASQUERADE è terminating come ACCEPT e DENY o è
> non-terminating come LOG?

no

>
> 2) Se spostassi la prima regola all'ultimo posto il masquerade verrebbe
> eseguito anche sugli indirizzi già manipolati dalle prime due rules (da
> quello che mo capito leggendo il man di iptables sembrerebbe che i
> target SNAT e DNAT siano terminating ma chiedo conferma)?

esatto sono terminating

>
> La soluzione sicura per ovviare al problema è quella di spostare la
> prima regola alla fine ed aggiungere l'opzione "-s 192.168.141.0/24" ma
> la cosa non è utilizzabile ai miei fini per altri motivi.

Se ci spieghi il dubbio...
Diaolin

>
> Ovviamente ho già cercato in Internet ma sinceramente non sono riuscito
> a dipanare il mio dubbio.
>
> - --
> Flavio Visentin
>
> |                     \|||/
> |                    @/0.0\@
> |                     \ - /
> +------------------oOOo---oOOo------------------
>
> There are only 10 types of people in this world:
> those who understand binary, and those who don't.
>
> GPG Key: http://www.zipman.it/gpgkey.asc
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.5 (GNU/Linux)
>
> iD8DBQFBd8w3usUmHkh1cnoRAjgnAJ9Blly5YR6mbmdN+MXbnb2H3kM27QCfcYuU
> SRpfocFChZA07YcD0/LO0cM=
> =nWRD
> -----END PGP SIGNATURE-----
> --
> Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>


-- 
To mess up a Linux box, you need to work at it; to mess up your Windows
box, you just need to work on it.
- Scott Granneman, Security Focus

-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Iptables e opzioni di NAT
    • From: Flavio Visentin

• References:
  • [Linuxtrent] Iptables e opzioni di NAT
    • From: Flavio Visentin

Other related posts:

• » [Linuxtrent] Iptables e opzioni di NAT
• » [Linuxtrent] Re: Iptables e opzioni di NAT
• » [Linuxtrent] Re: Iptables e opzioni di NAT

1. Home
2. linuxtrent
3. Archive
4. 10-2004

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---