[PLUTO-help] Router che non "decolla"!!!

Andrea Dinale andrea a dinale.it
Mer 27 Ago 2003 09:36:24 CEST 

Alle 21:21, martedì 26 agosto 2003, Morky ha scritto:

> Cosa manca? Ho omesso il MASQUERADE, perchè necessario solo se
> l'interfaccia connessa ad Internet ha IP dinmicao (giusto?), ma
> allora devo fare qualche altro tipo di SNAT o DNAT?

sarebbe un post piu' indicato a pluto-security
se hai altra domande e' meglio farle li, che qui siamo OT

devi usare SNAT, sotto ti riporto una piccola parte del NAT-HOWTO, [ 
www.netfiletr.org ],.
Il problema e' che i pacchetti che escono in direzione internet, 
attraversando il rouer isdn hanno come ip sorgente quello privato della 
macchina dalla quale sono partiti.
I pacchetti di ritorno non arriveranno mai alla tua macchina, perche' 
l'host di destinazione cerca di inviarli all'indirizzo sorgente, che 
pero' appartine ad una classe destinata alle reti locali, e quindi non 
raggiungibile da internet.
(il tutto a grandi linee)

---------------------------------------------------------------
[CUT]

  6.1.  Source NAT

  Se vuoi effettuare il Source NAT allora devi cambiare l'indirizzo
  sorgente della connessione con qualcosa di differente. Questo però
  deve essere fatto nella catena POSTROUTING, appena prima che il
  pacchetto sia inviato.  Questo è un dettaglio importante, perché solo
  così qualsiasi altra cosa nella Linux box (instradamento, filtraggio
  dei pacchetti) vedrà il pacchetto come invariato.  Ciò significa
  inoltre che si potrà utilizzare l'opzione `-o' (interfaccia uscente).


  Il Source NAT si specifica usando `-j SNAT', l'opzione `--to-source'
  permette di indicare un indirizzo o un intervallo di indirizzi IP e
  opzionalmente una o un intervallo di porte (però solo con i protocolli
  UDP e TCP).



       ## Cambia l'indirizzo sorgente in 1.2.3.4.
       # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

       ## Cambia l'indirizzo sorgente in 1.2.3.4, 1.2.3.5 oppure 1.2.3.6
       # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 
1.2.3.4-1.2.3.6

       ## Cambia l'indirizzo sorgente in 1.2.3.4, porte 1-1023
       # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 
1.2.3.4:1-1023



  6.1.1.  Masquerading

  Esiste un caso specializzato di Source NAT denominato mascheramento
  (masquerading): dovrebbe essere utilizzato solo se gli indirizzi IP
  sono assegnati dinamicamente, come ad esempio nel caso di connessione
  via modem (dial up), nel caso di indirizzi IP statici invece si usi il
  già citato SNAT.


  Non è necessario con il mascheramento (masquerading) indicare
  esplicitamente l'indirizzo sorgente in quanto sarà utilizzato
  l'indirizzo dell'interfaccia da cui il pacchetto uscirà.  Ancora più
  importante è il fatto che se il collegamento dovesse interrompersi, la
  connessione sarà dimenticata (sarebbe comunque persa), in questo modo
  non ci saranno grossi problemi quando la connessione sarà ristabilita,
  naturalmente con un nuovo indirizzo IP.



       ## Maschera qualsiasi cosa esca da ppp0.
       # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[CUT]
---------------------------------------------------------------

ciao

More information about the pluto-help mailing list