On Tue, Jun 17, 2008 at 11:36 AM, Gelpi Andrea <liste@xxxxxxxx> wrote: > Devo correggere la mail precedente. > Se ho capito bene, vuoi che il traffico ssh per la rete 192.168.1.0/24 passi > non nattato. esatto > In questo caso la seconda regola va modificata con --sport ! 22 altrimenti > ottieni il contrario. OK, avevo notato. > Occhio oltre a negare la prota 22 metti sport non dport. OK, avevo notato anche questo. > In altre parole fai nat di tutto tranne se il destination è la rete > 192.168.1.0/24 e il traffico arriva da un server ssh. Ci siamo quasi, ma non è proprio questo. Le due condizioni sono in OR e non in AND. Cioé voglio che non venga nattato nè il traffico che ha come dst 192.168.1.0/24, nè il traffico che ha come sport la 22. Ad occhio me la cavo solo usando delle mie chain... Ho cercato se esiste in iptables una cosa simile al NONAT di Shorewall o una qualche specie di SKIP che faccia uscire il pacchetto dal processo di matching, ma non ho trovato niente... :( Grazie a tutti, continuo a pensare e vi faccio sapere. Se nel frattempo qualcuno arriva prima di me a una buona soluzione vorrà dire che la prossima volta che passo a TN gli offrirò una birra... :( P. -- Paolo Larcheri http://tuttodebian.blogspot.com Linux User #383461 http://counter.li.org -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx