[Linuxtrent] Re: [iptables] masche rare con eccezioni... la via pi* breve

• From: "diaolin@xxxxxxxxxxx" <diaolin@xxxxxxxxxxx>
• To: <linuxtrent@xxxxxxxxxxxxx>
• Date: Tue, 17 Jun 2008 11:21:29 +0200

On 10:50 am 06/17/08 "Paolo Larcheri" <paolo.larcheri@xxxxxxxxx> wrote:
> On Tue, Jun 17, 2008 at 10:23 AM, Giuliano Natali <diaolin@xxxxxxxxxxx
> > wrote:
> >
> >  Con amorevole cura Paolo Larcheri ha scritto:
> >>  Ho un piccolo quiz...
> >>
> >>  voglio mascherare tutto il traffico proveniente dalla subnet
> >>  172.16.44.0/29 tranne:
> >>  - il traffico destinato alla 192.168.1.0/24
> >>  - il traffico TCP che ha come source port la 22.
> >>
> >>  Qual è secondo voi il modo più sintetico per farlo?
> >
> >
> >  #blocco il FORWARD su rete interna match prima richiesta
> >  iptables -A FORWARD -s 172.16.44.0/29 -d 192.168.1.0/24 -j REJECT
> >  #blocco il FORWARD da porta sorgente 22 match seconda richiesta
> >  iptables -A FORWARD -s 172.16.44.0/29 -p tcp --sport 22 -j REJECT
> >  #accetto il FORWARD verso tutti
> >  iptables -A FORWARD -s 172.16.44.0/29 -d 0.0.0.0/0 -j ACCEPT
> >  #maschero il traffico
> >  iptables -A POSTROUTING -t nat -s 172.16.44.0/29 -d 0.0.0.0/0 -j
> >  SNAT --to-source IP.MA.S.Q
> >
>
> Mi sa che devo fare dietro front... mi sono spiegato male io.  Chiedo
> scusa anche
> a Gelpi per aver sostenuto che fosse stato lui a non capire me!
>
> Vorrei che quel traffico passasse, ma non mascherato...
>
> P.
>

QUINDI alla fine inserisci
#accetta da 172* in forward verso 192*
iptables -I FORWARD -s 172.16.44.0/29 -d 192.168.1.0/24 -j ACCEPT
#accetta in forward da porta 22
iptables -I FORWARD -p tcp --sport 22 -s 172.168.44.0/29 -j ACCEPT
#e la prossima impedisce di mascherare
iptables -I PREROUTING -t nat -s 172.16.44.0/29 -j ACCEPT

Diaolo

>
> --
> Paolo Larcheri
> http://tuttodebian.blogspot.com
> Linux User #383461
> http://counter.li.org
> --
> Per iscriversi  (o disiscriversi), basta spedire un  messaggio con
> OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@free
> lists.org

-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] [iptables] mascherare con eccezioni... la via più breve
    • From: Paolo Larcheri
  • [Linuxtrent] Re: [iptables] mascherare con eccezioni... la via più breve
    • From: Giuliano Natali
  • [Linuxtrent] Re: [Linuxtrent] Re: [iptables] mascherare con eccezioni... la via più breve
    • From: Paolo Larcheri

Other related posts:

• » [Linuxtrent] Re: [iptables] masche rare con eccezioni... la via pi* breve

1. Home
2. linuxtrent
3. Archive
4. 06-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---