Re: ADSL e iptables (2x eth)
On 6/24/05, paolo <paolo.larcheri@gmail.com> wrote:
> Permittimi di fare il cocciuto... :)
Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato
consentire il forward sull'interfaccia ppp0, ma sussiste un problema:
solo dall'esterno posso usare l'IP pubblico, dall'interno invece,
intendo da una macchina della LAN che usa questo firewall per
connettersi non ho risposta.
IPPRIVATO -> IPPRIVATO ok
IPFUORI -> IPPUBBLICO ok
IPPUBBLICO -> IPPUBBLICO NO!
> Ultima cosa:
> "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve?
Ad abilitare la catena di INPUT che ha policy DROP
Questo il mio iptables che funzia come descritto sopra.
# RESETTO LE REGOLE ESISTENTI
iptables -F
iptables -F --table nat
# REGOLE DI DEFAULF
# Nego ingresso
iptables -P INPUT DROP
# Nego dialogo tra schede
iptables -P FORWARD DROP
# Accetto il traffico in uscita
iptables -P OUTPUT ACCEPT
# LOOPBACK!
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# MASQUERADING
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# FORWARD -> traffico LAN verso Internet e ritorno
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.10.0/24 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# FORWARD tra ppp0 e eth1 (????)
iptables -A FORWARD -i ppp0 -j ACCEPT
# INPUT -> traffico di ritorno verso IP
# permetto a quello che e` uscito di rientrare
iptables -A INPUT -d $MYIP -m state --state ESTABLISHED,RELATED -j ACCEPT
# TRAFFICO VERSO L'INTERNO
# www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $MYIP -j DNAT --to
$WEBSERVER:80
# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 22 -d $MYIP -j DNAT --to
$WEBSERVER:22
--
Openclose.it - Idee per il software libero
http://www.openclose.it
Reply to: