Flavio Visentin ha scritto: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Ciao a tutti, > mi assilla un problema: > > se ho un firewall con IPTables che deve eseguire il NAT di alcuni server > ~ e dei client verso Internet. > Oltre alle politiche di filtering standard, sono configurate alcune > regole di NAT che eseguono il masquerading dei client sul primo > indirizzo IP della scheda esterna e il source nat di 2 server sugli > altri due indirizzi esterni. > La configurazione di rete è la seguente (gli indirizzi esterni > ovviamente non sono reali): > > eth0 192.168.141.1 > eth1 111.222.333.1 > eth1:1 111.222.333.2 > eth1:2 111.222.333.3 > > Le regole di NAT sono le seguenti: > > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.4 -j SNAT \ > - --to-source 111.222.333.2 > /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.141.5 -j SNAT \ > - --to-source 111.222.333.3 > > DUBBI: > 1) La prima regola esegue il masquerading di tutto ciò che esce dalla > eth1. La seconda e la terza regola vengono processate comunque? Ovvero > il target MASQUERADE è terminating come ACCEPT e DENY o è > non-terminating come LOG? no > > 2) Se spostassi la prima regola all'ultimo posto il masquerade verrebbe > eseguito anche sugli indirizzi già manipolati dalle prime due rules (da > quello che mo capito leggendo il man di iptables sembrerebbe che i > target SNAT e DNAT siano terminating ma chiedo conferma)? esatto sono terminating > > La soluzione sicura per ovviare al problema è quella di spostare la > prima regola alla fine ed aggiungere l'opzione "-s 192.168.141.0/24" ma > la cosa non è utilizzabile ai miei fini per altri motivi. Se ci spieghi il dubbio... Diaolin > > Ovviamente ho già cercato in Internet ma sinceramente non sono riuscito > a dipanare il mio dubbio. > > - -- > Flavio Visentin > > | \|||/ > | @/0.0\@ > | \ - / > +------------------oOOo---oOOo------------------ > > There are only 10 types of people in this world: > those who understand binary, and those who don't. > > GPG Key: http://www.zipman.it/gpgkey.asc > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.2.5 (GNU/Linux) > > iD8DBQFBd8w3usUmHkh1cnoRAjgnAJ9Blly5YR6mbmdN+MXbnb2H3kM27QCfcYuU > SRpfocFChZA07YcD0/LO0cM= > =nWRD > -----END PGP SIGNATURE----- > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO > "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx > > > -- To mess up a Linux box, you need to work at it; to mess up your Windows box, you just need to work on it. - Scott Granneman, Security Focus -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx