[PLUTO-security] Re: [PLUTO-help] Router che non "decolla"!!!

Morky linux at bonward.com
Wed Aug 27 11:31:26 CEST 2003


...quindi se ho ben capito le mie richieste "mouiono" sul router!!!
Ho provato a fare il SNAT come segue e... funziona alla grande:

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.1.2

A questo punto però, mi complico un po' la vita!!!
Ho installato squid e funziona, però con la regola sopra indicata, se dai
client mi disabilitano le impostazioni del proxy, riescono a navigare
comunque!!!
Allora evito di fare il SNAT come sopra, e il proxy mi permette di navigare
su internet. In questo modo però non funzionano più i client di posta
elettronica!

Per consentire solo ed esclusivamente l'invio e la ricezione della posta
sono corrette queste 2 regole?

#Per pop3
iptables -t nat -A POSTROUTING -p tcp --dport 110 -o eth1 -j SNAT --to
192.168.1.2
#Per smtp
iptables -t nat -A POSTROUTING -p tcp --dport 25 -o eth1 -j SNAT --to
192.168.1.2

Grazie!

> Alle 21:21, martedì 26 agosto 2003, Morky ha scritto:
>
> > Cosa manca? Ho omesso il MASQUERADE, perchè necessario solo se
> > l'interfaccia connessa ad Internet ha IP dinmicao (giusto?), ma
> > allora devo fare qualche altro tipo di SNAT o DNAT?
>
> sarebbe un post piu' indicato a pluto-security
> se hai altra domande e' meglio farle li, che qui siamo OT
>
> devi usare SNAT, sotto ti riporto una piccola parte del NAT-HOWTO, [
> www.netfiletr.org ],.
> Il problema e' che i pacchetti che escono in direzione internet,
> attraversando il rouer isdn hanno come ip sorgente quello privato della
> macchina dalla quale sono partiti.
> I pacchetti di ritorno non arriveranno mai alla tua macchina, perche'
> l'host di destinazione cerca di inviarli all'indirizzo sorgente, che
> pero' appartine ad una classe destinata alle reti locali, e quindi non
> raggiungibile da internet.
> (il tutto a grandi linee)
>
> ---------------------------------------------------------------
> [CUT]
>
>   6.1.  Source NAT
>
>   Se vuoi effettuare il Source NAT allora devi cambiare l'indirizzo
>   sorgente della connessione con qualcosa di differente. Questo però
>   deve essere fatto nella catena POSTROUTING, appena prima che il
>   pacchetto sia inviato.  Questo è un dettaglio importante, perché solo
>   così qualsiasi altra cosa nella Linux box (instradamento, filtraggio
>   dei pacchetti) vedrà il pacchetto come invariato.  Ciò significa
>   inoltre che si potrà utilizzare l'opzione `-o' (interfaccia uscente).
>
>
>   Il Source NAT si specifica usando `-j SNAT', l'opzione `--to-source'
>   permette di indicare un indirizzo o un intervallo di indirizzi IP e
>   opzionalmente una o un intervallo di porte (però solo con i protocolli
>   UDP e TCP).
>
>
>
>        ## Cambia l'indirizzo sorgente in 1.2.3.4.
>        # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
>
>        ## Cambia l'indirizzo sorgente in 1.2.3.4, 1.2.3.5 oppure 1.2.3.6
>        # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to
> 1.2.3.4-1.2.3.6
>
>        ## Cambia l'indirizzo sorgente in 1.2.3.4, porte 1-1023
>        # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to
> 1.2.3.4:1-1023
>
>
>
>   6.1.1.  Masquerading
>
>   Esiste un caso specializzato di Source NAT denominato mascheramento
>   (masquerading): dovrebbe essere utilizzato solo se gli indirizzi IP
>   sono assegnati dinamicamente, come ad esempio nel caso di connessione
>   via modem (dial up), nel caso di indirizzi IP statici invece si usi il
>   già citato SNAT.
>
>
>   Non è necessario con il mascheramento (masquerading) indicare
>   esplicitamente l'indirizzo sorgente in quanto sarà utilizzato
>   l'indirizzo dell'interfaccia da cui il pacchetto uscirà.  Ancora più
>   importante è il fatto che se il collegamento dovesse interrompersi, la
>   connessione sarà dimenticata (sarebbe comunque persa), in questo modo
>   non ci saranno grossi problemi quando la connessione sarà ristabilita,
>   naturalmente con un nuovo indirizzo IP.
>
>
>
>        ## Maschera qualsiasi cosa esca da ppp0.
>        # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
> [CUT]
> ---------------------------------------------------------------
>
> ciao
>
> _______________________________________________
> pluto-help mailing list
> pluto-help at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-help
>
>





More information about the pluto-security mailing list