Re: domanda su iptables

To: debian-italian@lists.debian.org
Subject: Re: domanda su iptables
From: Mattia Dongili <dongili@supereva.it>
Date: Fri, 8 Aug 2003 10:39:33 +0200
Message-id: <[🔎] 20030808083933.GA686@inferi.kami.home>
Mail-followup-to: debian-italian@lists.debian.org
Reply-to: dongili@supereva.it
In-reply-to: <[🔎] 20030807230116.61114bbd.max@maximumdebian.org>
References: <[🔎] 20030806233202.49641b16.max@maximumdebian.org> <[🔎] 20030807082318.GA673@inferi.kami.home> <[🔎] 20030807230116.61114bbd.max@maximumdebian.org>

On Thu, Aug 07, 2003 at 11:01:16PM +0200, MaX wrote:
> On Thu, 7 Aug 2003 10:23:19 +0200
> Mattia Dongili <dongili@supereva.it> wrote:
> 
> > ho capito bene?
> > credo di no, probabilmente ho semplificato troppo :)
> > 
> > mi spieghi meglio la situazione? suppongo tu abbia una macchina che
> > nei DNS e' 212.10.10.10 e vuoi redirigere tutto il traffico su quella
> > di backup (.11)
> 
> no... il fatto e che il 212.10.10.10 è il firewall...
> 
> il firewall ha una DMZ su 212.10.10.15 e 212.10.10.20
> 
> Fa anche NAT alla rete interna su 192.168.1.xxx
> 
> Essendo il firewall un cisco, e avendo il responsabile nei caraibi
> fino alla fine si settembre, non possiamo accedere ad esso per
> cambiargli l'indirizzo IP sull'interfaccia esterna.  Perchè
> cambiare l'indirizzo?....  semplice, una nostra filiale lontana, ha
> una macchina ftp per noi molto importante... purtroppo per errore
> hanno impostato una regola nel loro firewall che limita la nostra
> ampiezza di banda, e essendo tutti incompetenti da quelle parti, non
> sanno dove mettere le mani... in ogni caso sarà a settembre, dopo
> le ferie.

proviamo a semplificare: se la macchina linux filtrasse solamente le
connessioni ftp dirette alla vs. filiale lontana?

ovvero siccome tanto c'e' il FW Cisco in mezzo:

- tutte le policy ACCEPT

- e poi masquerare solo le connessioni verso la filiale lontana, tipo:

iptables -t nat -A POSTROUTING -o ethX -p tcp -d <FilialeLontana> -j MASQUERADE
iptables -t nat -A POSTROUTING -o ethX -p tcp -d <FilialeLontana> -j MASQUERADE

non ho provato (e non so dirti se funziona, ma non ne vedo il motivo)
eventualmente puoi provare a fare lo SNAT e DNAT esplicitamente

quindi modificando il tuo schemino (mi diverte la ascci art :)

                         INTERNET       FilialeLontana     
                            ^           |
                            v    +------+
                            |    |
                    +------------------+         
                    |       |  <MASQ>  |
                    | Linux + iptables |
                    |   212.10.10.11   |
                    +------------------+
                            |
                 +-----------------------+
                 | Cisco FW 212.10.10.10 |
                 +-----------------------+
                       |       |  (NAT su 192.168.1.xxx)
                       |       |
      DMZone           |       |
 +------------------+  |       |
 | ftp 212.10.10.15 |  |       |
 | web 212.10.10.20 |--+       |
 +------------------+          |
                               |
                     MZone     |
                +--------------+
                | Rete interna |
                +--------------+    

spero di non aver detto castronerie memorabili :)
-- 
mattia
:wq!

Reply to:

Follow-Ups:
- Re: domanda su iptables
  - From: MaX <max@maximumdebian.org>

References:
- domanda su iptables
  - From: MaX <max@maximumdebian.org>
- Re: domanda su iptables
  - From: Mattia Dongili <dongili@supereva.it>
- Re: domanda su iptables
  - From: MaX <max@maximumdebian.org>

Prev by Date: Re: [OT] Conferma sul redirect di alice
Next by Date: Re: driver che non si toglie!
Previous by thread: Re: domanda su iptables
Next by thread: Re: domanda su iptables
Index(es):
- Date
- Thread