Re: dnat su multiple wan (era: iptables e server FTP in DMZ)
ciao,
innanzitutto grazie per la risposta.
Andrea Barbaglia wrote:
>
> Mah io ho avuto un problema simile su una macchina con due range
> diversi di ip pubblici e ho risolto utilizzando ip route...
> In pratica è come se la macchina in dmz avesse due default
> gateway, ma intelligentemente ip route sa cosa fare.
> (e questo è il mio caso)
> Magari con opportune modifiche si potrebbe applicare al tuo caso.
> Se la tua macchina in dmz fa *solo* ftp potresti provare...
> Il problema è che io non faccio nat!
>
> Cmq ecco lo script che io uso, tu dovresti applicarlo al firewall
>
> #!/bin/sh
>
>
> TABLE_NEWIP=NEWIP
> NET_NEWIP=1.2.3.0/28 ### la rete sulla quale risiede l'ftp
> IF_NEWIP=eth1 ### l'interfaccia sulla quale vuoi instradare i pacchetti
> ###di risposta della macchina ftp
> IP_NEWIP=1.2.3.5 ### l'indirizzo ip della macchina ftp
> ROUTER_NEWIP=1.2.3.1 ### il default gateway per tale rete
>
> echo Adding $TABLE_NEWIP
> ip route add $NET_NEWIP dev $IF_NEWIP src $IP_NEWIP table $TABLE_NEWIP
> ip route add default via $ROUTER_NEWIP dev $IF_NEWIP table $TABLE_NEWIP
>
> ip rule del from $NET_NEWIP table $TABLE_NEWIP >/dev/null 2>&1
>
> ip rule add from $NET_NEWIP table $TABLE_NEWIP
>
>
> ip route flush cache
>
> In poche parole gli stai dicendo tutto quello che ha come sorgente
> 1.2.3.5 con rete 1.2.3.0, lo fai usire sulla eth1 verso il gateway
> 1.2.3.1
>
> Spero si capisca... sono un po' di fretta!!!
>
si, si capisce ma il problema è che in questo modo è come se marcassi i
pacchetti. cioè: se i pacchetti dovessero entrare dall'interfaccia wan
di default, in questo modo li reinstraderei sempre sul gateway
$ROUTER_NEWIP.
Fabio
> Ciao. Andrea.
>
--
Dott. Fabio Marcone
2T srl
Telefono +39 - 0871- 540154
Fax +39 - 0871- 571594
Email fabio.marcone(AT)duet.it
Indirizzo Viale B. Croce 573
66013 Chieti Scalo (CH)
GNU/Linux registered user #400424
Reply to: