[Pluto-security] FTP - NAT... di nuovo ?!?
Filippo
filippo@zirak.it
Thu, 4 Jul 2002 13:28:46 +0200
Ciao a tutti!
Situazione: Firewall con zona DMZ, e:
POSTROUTING -j SNAT --to=${FIREWALL_IP}
funziona bene... quasi sempre.
*** 1) Voglio spedire posta da una postazione LAN (192.168.0.1) usando SMTP
sulla DMZ.
-> devo mettere un POSTROUTING -s 192.168.0.1 -j SNAT --to=192.168.0.1
altrimenti il DMZ pensa che i pacchetti provengano dal ${FIREWALL_IP} ed
ovviamente non li accetta come RELAY (aperto solo su 192.168.0.1)
Ci sono metodi più eleganti ?!? (magari snattare solo le connessioni in uscita
sul web?)
*** 2) FTP, questo rompi...
dato che il ${FIREWALL_IP} è un IP pubblico, e ${DMZ_IP} è anche pubblico, come
devo fare per permettere connessioni ftp da LAN o da un IP esterno prefissato?
per ora ho provato di tutto, ma senza risposte. Provando poi a fare un
PREROUTING -s 80.16.145.189 -d 213.26.80.173 -j DNAT --to 213.26.80.172
in un momentaneo raptus di pazzia, il client mi risponde:
bash-2.04# ftp ${FIREWALL_IP}
Connected to 192.168.1.2.
421 Service not available, remote server has closed connection.
qualcuno ha voglia di raccontarmi per bene che cavolo succede ?!?
nel frattempo faccio altre prove a manetta...
bye,
prakash