Buongiorno a tutti,
ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che
fanno da firewall gateway ognuna su una linea diversa(ovviamente).
Le 2 macchine hanno IP interno rispettivamente
perseo 192.168.2.240
sangiorgio 192.168.2.237
sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway
aziendale per Internet, la pacchina Master e' perseo, e sangiorgio
interviene solo se dall'altra parte non c'e' linea.
Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro,
per mia comodita' ho deciso che il traffico VPN deve passare tutto su
sangiorgio (macchina slave).
Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira,
molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al
cui confronto Godzilla e' un simpatico peluche.
Vorrei passare a shorewall e avere una gestione un po piu' "semplice"
Attualmente ottengo il risultato voluto con un "pacchetto" di regole
come questo:
$IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \
-p tcp --dport 775 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT
--to-destination $CHIMERA:775
$IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP
l'ultima regola in particolare e' quella che mi fa si che tutto il
traffico vpn passi da dove voglio io
Come faccio una cosa del genere su shorewall (ammesso si possa fare)?
Grazie in anticipo.