Re: domanda su iptables
On Thu, 7 Aug 2003 10:23:19 +0200
Mattia Dongili <dongili@supereva.it> wrote:
> ho capito bene?
> credo di no, probabilmente ho semplificato troppo :)
>
> mi spieghi meglio la situazione? suppongo tu abbia una macchina che
> nei DNS e' 212.10.10.10 e vuoi redirigere tutto il traffico su quella
> di backup (.11)
no... il fatto e che il 212.10.10.10 è il firewall...
il firewall ha una DMZ su 212.10.10.15 e 212.10.10.20
Fa anche NAT alla rete interna su 192.168.1.xxx
Essendo il firewall un cisco, e avendo il responsabile nei caraibi fino alla fine si settembre,
non possiamo accedere ad esso per cambiargli l'indirizzo IP sull'interfaccia esterna.
Perchè cambiare l'indirizzo?.... semplice, una nostra filiale lontana, ha una macchina ftp per noi molto importante... purtroppo per errore hanno impostato una regola nel loro firewall che limita la nostra ampiezza di banda, e essendo tutti incompetenti da quelle parti, non sanno dove mettere le mani... in ogni caso sarà a settembre, dopo le ferie.
quindi l'unica soluzione per noi è anteporre al firewall una macchina linux che converta il 212.10.10.10 in 212.10.10.11 (già provato... quest'ultimo IP non è filtrato)
Un'altra soluzione sarebbe eliminare il cisco e mettere linux
come FW riproducendo il cisco stesso.... ma i manager non mi lasciano farlo.... anche per motivi di assicurazione immagino.
quindi ricapitolando con un po'di ascii art:
il concetto sarebbe:
il 212.10.10.10 diventa per il mondo 212.10.10.11
mentre rimangono invariati il 212.10.10.15 e .20
INTERNET
^
v
|
+------------------+
| Linux + iptables |
+------------------+
|
+-----------------------+
| Cisco FW 212.10.10.10 |
+-----------------------+
| | (NAT su 192.168.1.xxx)
| |
DMZone | |
+------------------+ | |
| ftp 212.10.10.15 | | |
| web 212.10.10.20 |--+ |
+------------------+ |
|
MZone |
+--------------+
| Rete interna |
+--------------+
Reply to: