il nocciolo del problema sta nel fatto che linux non reinvia i pacchetti
di risposta utilizzando la stessa interfaccia di rete dei pacchetti che
ha ricevuto, quindi non riesco ad esportare su una wan secondaria un
servizio in dmz già esportato sulla wan di default.
qualcuno mi potrebbe dare dei suggerimenti?
esiste una soluzione?
magari sbaglio io qualcosa, ma se non faccio il mark dei pacchetti in
input dall'interfaccia dmz, questi mi vengono reinstradati mediante il
default gateway ...
Grazie,
Fabio
Fabio Marcone wrote:
ciao a tutti,
ho un problema di routing/firewall...
situazione: ho una macchina debian che fa da router/firewall. Tale
macchina ha 2 interfacce WAN e una DMZ.
devo far passare il traffico ftp dalla wan secondaria WAN2 (non quella
del default gateway) al server ftp in DMZ.
ho caricato i 2 moduli del kernel che gestiscono il nat e il connection
track del traffico ftp e rediretto in prerouting il le porte ftp e
ftp-data sul server e aperto il forwarding di conseguenza.
inoltre ho dovuto usare mangle per marcare i pacchetti provenienti dalla
dmz (e con porte ftp e ftp-data) per redirigerli sulla WAN2, altrimenti
uscivano dal default gateway e le connessione non si stabiliva.
in questo modo riesco a connettermi e a fare l'autenticazione.
quando però faccio lancio dir il client mi si blocca su
227 Entering Passive Mode ...
poichè evidentemente non passavano i pacchetti dati (aventi la porta
negoziata).
a questo punto ho dovuto impostare proftpd in modo da usare in passive
mode le porte in un certo range e tale range l'ho aggiunto al mark per
fare uscire i pacchetti dall'interfaccia corretta.
domande:
- possibile che devo marcare i pacchetti? se i pacchetti sono di
risposta ad altri entrati da un'interfaccia, perchè il router non usa la
stessa interfaccia per farli uscire?
- se lo stesso servizio in dmz lo volessi rendere disponibile anche
sull'altra interfaccia il mark non lo potrei usare, come potrei fare?
inoltre ho dei problemi se qualche altro servizio usa il range di porte
del server ftp poichè i pacchetti verrebbero sempre reinstradati sulla WAN2.
scusate per la "lungaggine" della descrizione..
Grazie a tutti,
Fabio