Re: dnat su multiple wan (era: iptables e server FTP in DMZ)

[Andrea Barbaglia <andrea.barbaglia@grazianotrasmissioni.it>]

Mah io ho avuto un problema simile su una macchina con due range
diversi di ip pubblici e ho risolto utilizzando ip route...
In pratica è come se la macchina in dmz avesse due default
gateway, ma intelligentemente ip route sa cosa fare.
(e questo è il mio caso)
Magari con opportune modifiche si potrebbe applicare al tuo caso.
Se la tua macchina in dmz fa *solo* ftp potresti provare...
Il problema è che io non faccio nat!

Cmq ecco lo script che io uso, tu dovresti applicarlo al firewall

#!/bin/sh


TABLE_NEWIP=NEWIP
NET_NEWIP=1.2.3.0/28 ### la rete sulla quale risiede l'ftp
IF_NEWIP=eth1 ### l'interfaccia sulla quale vuoi instradare i pacchetti
	      ###di risposta della macchina ftp
IP_NEWIP=1.2.3.5 ### l'indirizzo ip della macchina ftp
ROUTER_NEWIP=1.2.3.1 ### il default gateway per tale rete

echo Adding $TABLE_NEWIP
ip route add $NET_NEWIP dev $IF_NEWIP src $IP_NEWIP table $TABLE_NEWIP
ip route add default via $ROUTER_NEWIP dev $IF_NEWIP table $TABLE_NEWIP

ip rule del from $NET_NEWIP table $TABLE_NEWIP >/dev/null 2>&1

ip rule add from $NET_NEWIP table $TABLE_NEWIP


ip route flush cache

In poche parole gli stai dicendo tutto quello che ha come sorgente
1.2.3.5 con rete 1.2.3.0, lo fai usire sulla eth1 verso il gateway
1.2.3.1

Spero si capisca... sono un po' di fretta!!!

Ciao. Andrea.



Fabio Marcone ha scritto:
> il nocciolo del problema sta nel fatto che linux non reinvia i pacchetti
> di risposta utilizzando la stessa interfaccia di rete dei pacchetti che
> ha ricevuto, quindi non riesco ad esportare su una wan secondaria un
> servizio in dmz già esportato sulla wan di default.
>
> qualcuno mi potrebbe dare dei suggerimenti?
>
> esiste una soluzione?
>
> magari sbaglio io qualcosa, ma se non faccio il mark dei pacchetti in
> input dall'interfaccia dmz, questi mi vengono reinstradati mediante il
> default gateway ...
>
> Grazie,
> Fabio
>
> Fabio Marcone wrote:
> > ciao a tutti,
> > ho un problema di routing/firewall...
> >
> > situazione: ho una macchina debian che fa da router/firewall. Tale
> > macchina ha 2 interfacce WAN e una DMZ.
> >
> > devo far passare il traffico ftp dalla wan secondaria WAN2 (non quella
> > del default gateway) al server ftp in DMZ.
> > ho caricato i 2 moduli del kernel che gestiscono il nat e il connection
> > track del traffico ftp e rediretto in prerouting il le porte ftp e
> > ftp-data sul server e aperto il forwarding di conseguenza.
> >
> > inoltre ho dovuto usare mangle per marcare i pacchetti provenienti dalla
> > dmz (e con porte ftp e ftp-data) per redirigerli sulla WAN2, altrimenti
> > uscivano dal default gateway e le connessione non si stabiliva.
> >
> > in questo modo riesco a connettermi e a fare l'autenticazione.
> >
> > quando però faccio lancio dir il client mi si blocca su
> > 227 Entering Passive Mode ...
> >
> > poichè evidentemente non passavano i pacchetti dati (aventi la porta
> > negoziata).
> >
> > a questo punto ho dovuto impostare proftpd in modo da usare in passive
> > mode le porte in un certo range e tale range l'ho aggiunto al mark per
> > fare uscire i pacchetti dall'interfaccia corretta.
> >
> > domande:
> > - possibile che devo marcare i pacchetti? se i pacchetti sono di
> > risposta ad altri entrati da un'interfaccia, perchè il router non usa la
> > stessa interfaccia per farli uscire?
> > - se lo stesso servizio in dmz lo volessi rendere disponibile anche
> > sull'altra interfaccia il mark non lo potrei usare, come potrei fare?
> >
> > inoltre ho dei problemi se qualche altro servizio usa il range di porte
> > del server ftp poichè i pacchetti verrebbero sempre reinstradati sulla WAN2.
> >
> >
> > scusate per la "lungaggine" della descrizione..
> >
> > Grazie a tutti,
> > Fabio