[Pluto-help] Reindirizzamento

sad sadikuzboy a libero.it
Mar 19 Nov 2002 00:11:19 CET 

credo sia d'obbligo specificare che in questo caso

192.168.10.2 = webserver
192.168.10.4 = gateway


Ne approfitto inoltre per postare un esempio di firewall dato che ogni 
settimana vedo in list gente che chiede, chiede e richiede... ho appena 
trovato 2 minuti di tempo quindi .... eccomi a scrivere :o)


sul gate:

#regole di reset firewall
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT

#regola di drop per pack invalidi di tipo icmp
/sbin/iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

#logghiamo che e' meglio :o)
/sbin/iptables -I INPUT -j LOG

#accettiamo tutto dall'interfaccia loopback per non dare problemi a vari 
programmi...
/sbin/iptables -I INPUT -i lo -j ACCEPT

#anche da rete accettiamo tutto ... in genere non e' un problema
/sbin/iptables -I INPUT -i eth0 -j ACCEPT

#rigettiamo pakketti icmp ed igmp
/sbin/iptables -I INPUT -i ppp0 -p igmp -j DROP
/sbin/iptables -I INPUT -i ppp0 -p icmp -j DROP

#rigettiamo porte tcp con services che non vogliamo offire fuori
/sbin/iptables -I INPUT -i ppp0 -p tcp --dport 9 -j DROP
/sbin/iptables -I INPUT -i ppp0 -p tcp --dport 21 -j DROP
...

#rigettiamo porte udp con services che non vogliamo offrire fuori
/sbin/iptables -I INPUT -i ppp0 -p udp --dport 53 -j DROP
/sbin/iptables -I INPUT -i ppp0 -p udp --dport 137 -j DROP
/sbin/iptables -I INPUT -i ppp0 -p udp --dport 138 -j DROP
...

#masquerading per tutta la rete 192.168.10.*

iptables -t nat -s 192.168.10.0/24 -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Reindirizzamento DNAT per webserver:
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 80 -j DNAT --to 
192.168.10.2:80

#Permettiamo alla port 80 di "giocare" un po' con i rimbalzi ..:o)
iptables -A OUTPUT -p TCP -o ppp0 --sport 0:65535 --dport 80 -m state --state 
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -p TCP -i ppp0 --dport 0:65535 --sport 80 -m state --state 
ESTABLISHED -j ACCEPT
iptables -A INPUT  -p TCP -i eth0  --dport 80 --sport 0:65535 -j ACCEPT
iptables -A OUTPUT -p TCP -o eth0  --sport 80 --dport 0:65535 -j ACCEPT




Alle 21:10, luned́ 18 novembre 2002, Andrea Beretta ha scritto:
> >Dovrei fare in modo che tutte le richieste provenienti dal mondo ad una
> >certa porta della mia macchina linux (A) siano rigirate alla stessa
> >porta di un altro indirizzo(B). Dovrei anche riuscire a rigirare la
> >risposta di B attraverso A alla fonte iniziale della richiesta.
>
> In una lan che avevo configurato x un progetto d'esame avevo una
> macchina connessa ad internet (192.168.0.4)tramite modem che redirigeva
> tutto il traffico sulla porta 80 ad un'altro pc della rete con
> installato apache, ed avevamo aggiunto questa regola in iptables :
>
> iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 80 -j DNAT --to
> 192.168.10.2:80
>
> Poi sulla macchina con apache avevamo settato come gateway 192.168.10.4
>
> spero faccia al tuo caso
>

-- 
sad

NetworkAdmin FLEXYnet.org
ServerAdmin sunny.FLEXYnet.org
NetworkAdmin SDKappa.com
Security Manager & Consultant SDKappa.com

More information about the pluto-help mailing list