"wannabe.mail" <wannabe.mail@libero.it> writes: > #### PACCHETTO IN RITORNO > iptables -t filter -A FORWARD -p tcp -d 10.10.1.3 -s 0/0 --sport 80 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 10.10.1.3 --dport 80 -j DNAT --to 10.10.1.3:80 qui sei troppo poco paranoico! potresti usare "-m state --state ESTABLISHED,RELATED" oppure qualcosa di simile con --tcp-flags, in modo da accettare pacchetti dall'esterno solo se in risposta a pacchetti dall'interno... comunque secondo me così ti diventa un casino, secondo me dovresti separare il nat dal filtering, ovvero scrivere una regola generica di nat e diverse regole di filtering su cosa far passare e cosa no.
Attachment:
pgp4HJNJSa1OQ.pgp
Description: PGP signature