[Pluto-tech] Firewall

Leonardo Boselli leo at dicea.unifi.it
Fri Apr 18 09:56:35 CEST 2003 

una cosa del genere la ho provata e mi hanno dato questo
suggerimento che accludo.
nel caso specifico la macchina all'interma avrebbe un indirizzo
interno, ma nattato in/out su uno esterno, una alternativa sarebbe
invece di guardarsi l'howto sul proxy arp.

> Quindi, riassumendo, avrai due regole fatte così:
> - -per le connessioni in ingresso-
> iptables -t nat -A  PREROUTING  -d ip_pubblico -j DNAT \
>                                     --to-destination ip_interno
> - -per le connessioni in uscita-
> iptables -t nat -A POSTROUTING -s ip_interno -j SNAT \
>                                     --to-source ip_pubblico
> Giustamente potresti farmi notare che, mentre la prima regola
non può
> dare adito a fraintesi, la seconda sembra instradare
indistintamente
> tutto il traffico della lan generato da ip_interno verso un, non
sempre
> coerente, ip_pubblico. Di fatto ciò non accade, ma, per eccesso
di zelo
> (che in certi casi non è mai sbagliato) possiamo eliminare ogni
> ambiguità modificando in questo modo la regola per le
connessioni in
> uscita:
>
> iptables -t nat -A POSTROUTING -s ip_interno -d
!ip_lan/netmask -j SNAT
> \
>                                     --to-source ip_pubblico
>
> mi raccomando: specifica *sempre* le catene della tabella nat
dove vuoi
> che questi particolari jump (istruzione -j) vengano applicati
perchè,
> come puoi notare dai due stralci della pagina di manuale che ti ho
> riportato, l'accettazione di tali regole è strettamente connessa a
> questa condizione.

On 17 Apr 2003, at 23:41, Filippo Micale wrote:
> Ho un grossimo problema spero che qualcuno mi possa aiutare,
>
> la mia sitazione è la seguente: ho messo all'università un PC Server
> con Linux RedHat 8.0 e due schede di rete etho = 192.168.1.1 e eth1=
> 155.24.24.9
>
> Sono perfettamente riuscito a separare la rete interna da quella
> esterna e andare su internet.  Ho un pc con indirizzo 155.24.24.152
> che si trova nella parte della rete interna LAN e che deve essere
> visibile alla rete esterna. Come si fa?  Come posso dirgli che se
> qulacuno interroga quel indirizzo lui debba rispondere???????
> Aiutooooooooooo non so come fare.
>
> Grazie
> Filippo
>
> _______________________________________________
> pluto-tech mailing list
> pluto-tech at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-tech


--
Leonardo Boselli
Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
tel +39 0554796431 cell +39 3488605348 fax +39 055495333
http://www.dicea.unifi.it/~leo

More information about the pluto-tech mailing list