[Pluto-security] Bridging Firewall
save81@virgilio.it
save81@virgilio.it
Wed, 2 Oct 2002 15:34:39 +0200
Ciao a tutti,
sono nuovo di questa fantastica mailing list ... ho letto qualche vecchio=
post e mi sembrate tutti molto capaci del mondo linux.
Vi espongo il mio problema nella speraza che mi possiate aiutare....
PROBLEMA:
Vorrei poter accedere dall'esterno (ad esempio da casa) ad una linux box
presente nel mio ufficio, in cui poi configurero' server web e ftp.
SITUAZIONE:
La rete del mio ufficio ? classica una lan che accede all'esterno attrave=
rso
un router (ip fisso).. posso configurare qualsiasi cosa tranne il router=
.
MIA SOLUZIONE:
Installo alla base del router una linux box e faccio in modo che si compo=
rti
da bridging firewall poi volevo applicare delle regole di nat per permett=
ere
alle richieste che arrivano sull'ip del router con porta es. 5090 di esse=
re
nattate e girate ad una macchina interna al mio ufficio......
secondo voi ? qualcosa di possibile?
(la linux box come bridging firewall funziona, infatti ora in ufficio nav=
ighiamo
e facciamo tutte le operazioni passando dalla linux box)
quindi, situazione attuale INTERNET----ROUTER---- LINUX BOX BRIDGING FIRE=
WALL
--- RETE INTERNA , funzionante
Chiedo questo perch? poi non ho ben chiaro una cosa: es.
-ip router 123.456.789.1
-da casa mia mi apro il browser e richiedo la seguente pagina http://123.=
456.789.1:5090
-la richiesta arriva al router ... ma prima di passare per il bridge ed
essere nattata .. forse viene nattata dal router prima? possibile?
cerco di spiegarmi: il router fa di suo operazioni di nat per permettere
ai pc della rete del mio ufficio di accedere ad internet... ma non so com=
e
si comporta se una richiesta arriva dall'esterno...
E' possibile che il router sia impostato per impedire a pacchetti contene=
ti
il flag SYN di richiesta connessione attivo, se fosse cosi non avrei sper=
anze...
Configurazione attuale della linux box:
red hat 7.3
bridge-utilities 0.9.5
eth0 collegata al router
eth1 collegata allo switch interno
Script di avvio per configurare schede di rete e interfaccia bridge
$BR_IFACE=3Dbr0
$INTIF=3Deth1
$EXTIF=3Deth0
echo "Starting servicce bridge my_bridge"
brctl addbr $BR_IFACE || return=3D$rc_failed
brctl addif $BR_IFACE $INTIF || return=3D$rc_failed
brctl addif $BR_IFACE $EXTIF || return=3D$rc_failed
ifconfig $EXTIF 0.0.0.0 promisc || return=3D$rc_failed
ifconfig $INTIF 0.0.0.0 promisc || return=3D$rc_failed
brctl sethello $BR_IFACE 1 || return=3D$rc_failed
brctl setmaxage $BR_IFACE 4 || return=3D$rc_failed
brctl setfd $BR_IFACE 4 || return=3D$rc_failed
ifconfig $BR_IFACE promisc up || return=3D$rc_failed
echo -e "$return"
;;
Script di firewall per nattare le richieste particolare che arrivano al
router e che io devo rigirare ad una particolare macchina della mia rete
/sbin/depmod -a
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ip_conntrack_ftp
iptables -F #Cancello le regole di INPUT,OUTPUT, FORWARD
iptables -F -t nat #Cancello le regole impostate nella tabella nat
iptables -X #Cancello le catene create
iptables -Z
iptables -P INPUT ACCEPT #Non accetto niente in input
iptables -P FORWARD ACCEPT #Non faccio passare niente da sto firewall
iptables -P OUTPUT ACCEPT #Non faccio uscire niente da qua....
#Specifichiamo
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.254 --dport 5089 -j
DNAT --to 192.168.1.6
#Qui sorge un altro mio dubbio devo mettere -d 123.456.789.1 (cio? 'indir=
izzo
del router) o -d 192.168.1.254 (cio? l'indirizzo che il ruoter ha nella
rete interna)??
grazie e gloria a chi mi da un aiutino!
RIEPILOGANDO:
funziona solo il bridging, dall'esterno non riesco a collegarmi ad una
macchina delle mia rete lan del mio ufficio.
Save