Re: ADSL e iptables (2x eth)
On 6/24/05, paolo <paolo.larcheri@gmail.com> wrote:
> Purtroppo io non sono laureato in lettere ed ho un po' di
> difficoltà ad esprimermi e farmi capire... :)
> per favore sopportami.
:-))))))))))))
> > Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato
> > consentire il forward sull'interfaccia ppp0, ma sussiste un problema:
> > solo dall'esterno posso usare l'IP pubblico, dall'interno invece,
> > intendo da una macchina della LAN che usa questo firewall per
> > connettersi non ho risposta.
>
> Per curiosità: utilizzando le stesse regole che hai detto,
> ad eccezione di utilizzare ACCEPT come policy della FORWARD,
> funziona anche in quell'unico caso in cui attualmente non va?
> Fammi sapere perchè sono curioso!!!
No, ho provato e non va. Ma come dice giustamente LoSpippolo si tratta
di fargli fare un giro tra schede perche' temo che il pacchetto non
vada neppure fuori! Nel senso che secondo me funziona cosi':
client -> eth1-> ppp0 -> eth1 -> client
e non
client -> eth1 -> ppp0 -> DNS -> ppp0 -> eth1 -> client
>
> > > Ultima cosa:
> > > "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve?
> >
> > Ad abilitare la catena di INPUT che ha policy DROP
>
> OK, ma a meno che tu non abbia un webserver anche sul
> firewall, quella regola non ti serve perchè tu fai il PREROUTING della 80
> verso il webserver e non passi per la catena di INPUT...
> in pratica quella regola sarebbe "cagata" da iptables solo per
> i pacchetti provenienti dalla LAN e indirizzati al indirizzo privato
> del firewall (eth1) sulla porta 80.
No, sul firewall non c'e' webserver, probabilmente hai ragione, anche
se mi pareva che non andasse senza. La teoria e' certamente dalla tua!
Comunque queste regole mi piacciono: ho appena scoperto che se entro
dal firewall in remoto via ssh poi non posso muovermi all'interno
della rete locale. Forse devo applicare qualche regolina per
agevolarmi l'amministrazione o una backdoor...
--
Openclose.it - Idee per il software libero
http://www.openclose.it
Reply to: