Re: ADSL e iptables (2x eth)
On 6/23/05, LoSpippolo <lospippolo@email.it> wrote:
> > On 6/22/05, LoSpippolo <lospippolo@email.it> wrote:
> > >
> > > >
> > > > L'ultima cosa che vi chiedo, giusto per imparare la teoria: la
> > > > connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre
> > > > le macchine interne hanno come netmask 255.255.255.0 e ip di classe
> > > > 192.168.0.x
> > > >
> > > > Ci sono problemi?
> > > >
> > >
> > > no, e' cosi che dev'essere
> > >
> > > per completezza ti posto l'ifconfig del mio proxy aziendale che usa una
> > > adsl su pppoe di infostrada
> >
> > E' praticamente identico al mio! GRAZIE!
>
> prego...
>
> >
> > Ancora su questo argomento. Sono stato "costretto" ad utilizzare un
> > modem ADSL al posto per router, perche' non sono riuscito a far
> > digerire ad un vecchio CISCO le configurazioni di questa ADSL.
> >
> > Ora. Quali problemi di sicurezza ci sono ad usare un modem sul
> > firewall (nel mio caso specifico un vecchio Alcatel Speed Touch Home
> > ETH) al posto del router? e in oltre: ho un'altra ADSL di backup che
> > viene tenuta su da un'altra macchina: qual e' il modo piu' furbo per
> > far passare il firewall da una all'altra?
> >
>
>
> eh, switchare il default gateway di tutte le macchine della rete e' un
> po' dura senza cambiare le impostazioni del dhcp server e riavviare se
> nn i computer ma almeno la configurazione del tcp/ip.
>
> potresti fare cosi, se la macchina "ufficiale" ha problemi ad andare in
> internet, ed il come e' da decidere, tipo un controllo se ppp0 down, o
> un ping ad un indirizzo su internet schedulato ogni 2 minuti che da'
> richiesta scaduta o qualche altro artifizio che adesso nn mi sovviene,
> se la rete esterna e' irraggiungibile potresti modificare il default gw
> di questa macchina ed usare l'altra per uscire cosi' i tuoi pc della lan
> avranno lo stesso def gw (questo pc) ma questo pc non uscira' piu' col
> suo modem, ma usando un'altra macchina.
>
> ma questo cambio di adsl lo puoi fare a manina o dev'essere automatico ???
>
> spero di essermi spiegato ed aver fatto una proposta felice....
>
> :-)
>
Anzitutto grazie per la tua disponibilita'. Sto pensando a come
passare da una conn all'altra... ho anche trovato un documentino
interessante. Vi faccio sapere!
Pero' prima ho un problema su IPTABLES. Il mio obiettivo e' nattare la
porta 80 verso un'altra macchina...
# Nego ingresso
iptables -P INPUT DROP
# Nego dialogo tra schede
iptables -P FORWARD DROP
# Accetto il traffico in uscita
iptables -P OUTPUT ACCEPT
# MASQUERADING
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# FORWARD -> traffico LAN verso Internet e ritorno
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.10.0/24 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to
$WEBSERVER:80
# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to
$FIREWALL:22
Tutto funzia bene. Le macchine interne navigano benissimo (questo msg
ne e' la prova), anche SSH viene rediretta al Firewall (che e' la
macchina dove c'e' il modem). Mentre il web server non va.
Secondo me i pacchetti dal webserver non riescono a tornare
indietro... hai qualche idea?
--
Openclose.it - Idee per il software libero
http://www.openclose.it
Reply to: