R: [PLUTO-help] Consiglio
damiano.conte a libero.it
damiano.conte a libero.it
Mer 8 Ott 2003 13:56:24 CEST
> Ma... Iptables lo devo configurare su tutti i server
Se hanno un indirizzo pubblico e non li filtri con un firewall direi di si.
> Io volevo farmi una macchinetta con due schede di rete che mi filtrava i
> dati
>
> E ... (approfitto della tua gentilezza) non capisco come una chiamata ad
> un indirizzo ip statico xyzn possa essere filtrato da un server e
> reindirizzato correttamente alla macchina giusta.
Con le regole di NAT, ossia:
se ho un indirizzio IP pubblico 10.10.10.12 e lo devo mandare ad una macchina nella rete privata si scrive in questo modo
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.10.10.12 -j DNAT --to-destination 192.168.0.12 -j ACCEPT
tradotto in parole piu' semplici:
consenti il traffico (-A PREROUTING) destinato alla porta 80 del tcp (-p tcp --dport 80) che avrebbe come destinazione il mio indirizzo pubblico (-d 10.10.10.12) vesro l'indirizzo 192.168.0.12 (--to-destination 192.168.0.12).
Se il FORWARD e' DROP devi aggiungere:
iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.12 -j ACCEPT
ed in fine bisogna far rispondere al mondo il nostro webserver e quindi scriveremo:
iptables -A FORWARD -s 192.168.0.12 -m state --state ESTABLISHED,RELATED -j ACCEPT
questo e' un esempio "bovino" per spiegarti come funzionano le cose con iptables, comunque se vuoi andare a fondo al problema fai qualche ricerca in internet o se non hai tempo su Linux & C di questo mese c'e' una bellissima guida sui FIREWALL.
> Una cosa che non ho detto e' che sulla mia rete ho anche una macchina
> terminal server win 2000 e vorrei proteggere anche questa visto che e'
> una macchina microsoft
>
Consiglio di spostarci su PLUTO-security per queste tipo di argomenti.
Damiano
--
Non esistono domande
stupide, esistono errori
stupidi causati da chi non
ha fatto domande !!!
More information about the pluto-help
mailing list