[PLUTO-security] Re: [PLUTO-help] Router che non "decolla"!!!

Andrea Dinale andrea at dinale.it
Wed Aug 27 20:20:20 CEST 2003


Morky wrote:

Ti ripeto che questo messaggio in questa lista e' OT (off topic, cioe' 
fuori tema)
Esiste una lista dedicata a problemi come il tuo, si chiama pluto-security.
Per questa volta ti rispondo lo stesso, se vuoi fare altre domande, ti 
conviene
cambiare lista.
Pluto-security e' poco trafficata, quindi non e' dispendiosa in termini 
di tempo.

>...quindi se ho ben capito le mie richieste "mouiono" sul router!!!
>Ho provato a fare il SNAT come segue e... funziona alla grande:
>
>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.1.2
>
no, le richieste uscivano, e raggiungevano la destinazione
E' l'host di destinazione che non sa a chi routare il pacchetto di ritorno.

>Allora evito di fare il SNAT come sopra, e il proxy mi permette di navigare
>su internet. In questo modo però non funzionano più i client di posta
>elettronica!
>
non devi lavorare sullo snat ma sul forwarding, se usi un proxy puoi 
bloccare il
forward tranne che per le porte 25 110 143 ecc, a questo punto se 
l'utente toglie
le impostazioni del proxy non potra' piu' navigare

>Per consentire solo ed esclusivamente l'invio e la ricezione della posta
>sono corrette queste 2 regole?
>
>#Per pop3
>iptables -t nat -A POSTROUTING -p tcp --dport 110 -o eth1 -j SNAT --to
>192.168.1.2
>#Per smtp
>iptables -t nat -A POSTROUTING -p tcp --dport 25 -o eth1 -j SNAT --to
>192.168.1.2
>
sintatticamente si, ma e' la logica ad essere sbagliata,.
Se fai cosi i pacchetti diretti alla porta 80 di un qualche host lo 
raggiungono
ma non tornano indietro, quindi generi del traffico "spazzatura" inutile.
non so se mi sono spiegato, altrimenti chiedi pure (ma sulla lista 
adatta :-))

ciao
Andrea




More information about the pluto-security mailing list