dnat su multiple wan (era: iptables e server FTP in DMZ)

To: debian-italian@lists.debian.org
Subject: dnat su multiple wan (era: iptables e server FTP in DMZ)
From: Fabio Marcone <fabio.marcone@duet.it>
Date: Thu, 18 Oct 2007 13:47:36 +0200
Message-id: <[🔎] 471747D8.5040006@duet.it>
In-reply-to: <[🔎] 4717312D.9020807@duet.it>
References: <[🔎] 4717312D.9020807@duet.it>

il nocciolo del problema sta nel fatto che linux non reinvia i pacchetti
di risposta utilizzando la stessa interfaccia di rete dei pacchetti che
ha ricevuto, quindi non riesco ad esportare su una wan secondaria un
servizio in dmz già esportato sulla wan di default.

qualcuno mi potrebbe dare dei suggerimenti?

esiste una soluzione?

magari sbaglio io qualcosa, ma se non faccio il mark dei pacchetti in
input dall'interfaccia dmz, questi mi vengono reinstradati mediante il
default gateway ...

Grazie,
Fabio

Fabio Marcone wrote:
> ciao a tutti,
> ho un problema di routing/firewall...
> 
> situazione: ho una macchina debian che fa da router/firewall. Tale
> macchina ha 2 interfacce WAN e una DMZ.
> 
> devo far passare il traffico ftp dalla wan secondaria WAN2 (non quella
> del default gateway) al server ftp in DMZ.
> ho caricato i 2 moduli del kernel che gestiscono il nat e il connection
> track del traffico ftp e rediretto in prerouting il le porte ftp e
> ftp-data sul server e aperto il forwarding di conseguenza.
> 
> inoltre ho dovuto usare mangle per marcare i pacchetti provenienti dalla
> dmz (e con porte ftp e ftp-data) per redirigerli sulla WAN2, altrimenti
> uscivano dal default gateway e le connessione non si stabiliva.
> 
> in questo modo riesco a connettermi e a fare l'autenticazione.
> 
> quando però faccio lancio dir il client mi si blocca su
> 227 Entering Passive Mode ...
> 
> poichè evidentemente non passavano i pacchetti dati (aventi la porta
> negoziata).
> 
> a questo punto ho dovuto impostare proftpd in modo da usare in passive
> mode le porte in un certo range e tale range l'ho aggiunto al mark per
> fare uscire i pacchetti dall'interfaccia corretta.
> 
> domande:
> - possibile che devo marcare i pacchetti? se i pacchetti sono di
> risposta ad altri entrati da un'interfaccia, perchè il router non usa la
> stessa interfaccia per farli uscire?
> - se lo stesso servizio in dmz lo volessi rendere disponibile anche
> sull'altra interfaccia il mark non lo potrei usare, come potrei fare?
> 
> inoltre ho dei problemi se qualche altro servizio usa il range di porte
> del server ftp poichè i pacchetti verrebbero sempre reinstradati sulla WAN2.
> 
> 
> scusate per la "lungaggine" della descrizione..
> 
> Grazie a tutti,
> Fabio
> 


-- 

Dott. Fabio Marcone

2T srl
Telefono	                        +39 - 0871- 540154
Fax		                        +39 - 0871- 571594
Email	                           	fabio.marcone(AT)duet.it	
Indirizzo				Viale B. Croce 573
                                        66013 Chieti Scalo (CH)
GNU/Linux registered user  		#400424

Reply to:

Follow-Ups:
- Re: dnat su multiple wan (era: iptables e server FTP in DMZ)
  - From: Andrea Barbaglia <andrea.barbaglia@grazianotrasmissioni.it>

References:
- iptables e server FTP in DMZ
  - From: Fabio Marcone <fabio.marcone@duet.it>

Prev by Date: iptables e server FTP in DMZ
Next by Date: Sofware per generare .IFO per un DVD con .VOB già presenti?
Previous by thread: iptables e server FTP in DMZ
Next by thread: Re: dnat su multiple wan (era: iptables e server FTP in DMZ)
Index(es):
- Date
- Thread