iptables prerouting [RISOLTO]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
kreen
Linux 2.x
Linux 2.x
Messaggi: 228
Iscritto il: mer 1 feb 2006, 18:32
Slackware: 12.0
Kernel: 2.6.21.5-smp
Desktop: KDE
Località: Verona

iptables prerouting [RISOLTO]

Messaggio da kreen »

Ciao a tutti.
Ho un problema con iptables, del quale ho pressoché conoscenza nulla.

Devo accedere ad un server http su una rete (Es. 192.168.1.0 ) da un'altra rete (Es. 192.168.10.0 su wlan0).
In mezzo ho piazzato una vecchia macchina con due schede di rete.
Una wireless sulla rete da cui accedo (su wlan0) e una fissa che guarda al server (eth0).

dopo

Codice: Seleziona tutto

rc.ip_forward start
Ho impostato queste regole sul firewall:

Codice: Seleziona tutto


iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -A FORWARD -j LOG --log-level 7 --log-prefix "Pack: "
iptables  -A PREROUTING -t nat -p TCP  -i wlan0 --dport 80 -j DNAT --to 192.168.1.10:80 
iptables -A FORWARD $text "VIDEO: TCP"  -p TCP -i wlan0 -o eth0 -d 192.168.1.10 \
        --dport 80  -j DROP 

Purtroppo pero' non mi connetto con il browser.
Sono stato lasco per evitare meno problemi possibili, per poi andare piano piano a chiudere i buchi.

Grazie
Ultima modifica di kreen il dom 4 apr 2010, 8:08, modificato 1 volta in totale.

Avatar utente
sardylan
Linux 3.x
Linux 3.x
Messaggi: 993
Iscritto il: mar 24 apr 2007, 9:21
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.14
Distribuzione: Debian - CLFS
Località: Cagliari
Contatta:

Re: iptables prerouting

Messaggio da sardylan »

Oltre alle regole di forward, ci vuole anche la regola di ritorno...
La butto un po' li... Non so se sia giusta... Ho un po' dimenticato iptables...

Codice: Seleziona tutto

/sbin/iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j DNAT --to 192.168.1.10:80
/sbin/iptables -t nat -A PREROUTING -i eth0 -d 192.168.10.x -m state --state ESTABLISHED,RELATED -j DNAT --to 192.168.10.x
A questo punto ti stai facendo un NATTING per per poter accedere alla rete 192.168.1.0/24 dalla rete 192.168.10.0/24, quindi io opterei per una roba del genere:

Codice: Seleziona tutto

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --from 192.168.1.X (X è la macchina che sta in mezzo alle due reti)
/sbin/iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT
che alla fine dovrebbero essere le stesse regole che girano dentro i routers che ti permettono di navigare su internet, con l'unica differenza che non usi il MASQUERADE, ma il SNAT (masquerade è per IP dinamici, SNAT per ip statici)
In questo modo aggiungi una route nelle macchine della 192.168.10.0/24 dicendoli che per la rete 192.168.1.0/24 deve usare il gateway presente all'indirizzo 192.168.10.X (dove X è sempre la macchina che sta in mezzo, ma stavolta lato wlan0)

Spero di essere stato chiaro, e di non aver fatto errori :)

Avatar utente
kreen
Linux 2.x
Linux 2.x
Messaggi: 228
Iscritto il: mer 1 feb 2006, 18:32
Slackware: 12.0
Kernel: 2.6.21.5-smp
Desktop: KDE
Località: Verona

Re: iptables prerouting

Messaggio da kreen »

Ciao Luca,
grazie veramente per la drittona. Infatti funziona. :thumbright:

L'opzione nel SNAT non è -from ma --to-source.

Buona Pasqua

Avatar utente
sardylan
Linux 3.x
Linux 3.x
Messaggi: 993
Iscritto il: mar 24 apr 2007, 9:21
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.14
Distribuzione: Debian - CLFS
Località: Cagliari
Contatta:

Re: iptables prerouting [RISOLTO]

Messaggio da sardylan »

Good :D :D

Rispondi