[PLUTO-help] Re: Problema firewall
Luca Sollazzo
tailgunner75 a email.it
Lun 7 Giu 2004 22:27:39 CEST
> -----Original Message-----
> From: pluto-help-bounces a lists.pluto.it
> [mailto:pluto-help-bounces a lists.pluto.it]On Behalf Of
> Gianluca Di Carlo
> Sent: Monday, June 07, 2004 3:26 PM
> To: pluto-help a lists.pluto.it
> Subject: [PLUTO-help] Re: Problema firewall
>
>
> Grazie ancora per i suggerimenti. Comunque oggi mi sono fatto dare il
> risultato preciso del comando ip route
>
> 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1
> 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
> 127.0.0.0/8 dev lo scope link
> default via 192.168.1.254 dev eth1
>
> Quindi sembra che il sistema sa che per inviare pacchetti alla rete
> 192.168.1 devi utilizzare eth1. Il mio dubbio è che, a parte
> il problema del
> firewall, il sistema proprio non riesce a far passare i
> pacchetti da una
> scheda di rete all'altra.
>
> Forse mi sfugge qualcosa?
>
> Gianluca
allora.... mettiamola in questo modo:
1)tu pinghi il router da una macchina sulla rete interna.
2)la linuxbox inoltra al router il tuo pacchetto icmp echo request.
3)il pacchetto raggiunge il router, che va per rispondere con l'echo
reply... e quì scatta
l'inghippo.... a chi lo manda? la sua tabella di routing sarà qualcosa
del tipo:
192.168.1.0/24 via 192.168.1.254 dev (interfaccia ethernet)
0.0.0.0 via XX.XX.XX.XX... dev ( interfaccia esterna)
l'echo reply lui lo deve mandare ad un ip appartenente alla rete
192.168.0.0/24, quindi consulta la tabella di routing, e giunge alla
conclusione che deve inviare la risposta su internet.... (dove poi
ovviamente verrà droppata da qualche router....)
a questo punto o dici al router che per raggiungere la rete
192.168.0.0/24 deve usare l'interfaccia interna, oppure usi il nat sulla
linuxbox, con la regola:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.1.1
in tal modo Linux sostituisce tutti gli ip di origine con quello di
eth1, il router "crederà" che tutti i pacchetti provengano dalla
macchina Linux... ed ad essa invierà la risposta... poi sarà la macchina
Linux a reindirizzare le risposte ai client sulla rete interna.....
personalmente ritengo che la soluzione più pulita sia aggiungere una
route statica sul router, ma se p.e. non hai accesso al router, allora
la cosa più semplice è quella di "imbrogliarlo" con il nat...
Ciao,
Luca
More information about the pluto-help
mailing list