IPTABLES OUTPUT & DNAT

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: IPTABLES OUTPUT & DNAT
Mittente: sacripante
Data: 17 Jun 2002 11:19:57 -0000

Salve,

Ho riscontrato un problema configurando la catena di output di iptables.

Ho un firewall linux con 3 eth. Una e' rivolta verso la rete locale, l'altra e' rivolta verso internet, e l'ultima per una seconda rete interna che viene definita impropriamente "DMZ"

Per far visualizzare dal esterno una macchina in "DMZ" ho aggiunto una semplice regola in PREROUTING di DNAT sul Firewall come la seguente.

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d 123.123.123.123 -j DNAT --to 10.10.0.123

E questa regola funziona corettamente.

Tuttavia dal Firewall stesso non riesco ad accedere alla macchina al suo indirizzo ip esterno(123.123.123.123).
Mentre al indirizzo interno ci accedo benissimo.

Ho aggiunto allora questa regola nella catena di OUTPUT

$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -d 123.123.123.123 -j DNAT --to 10.10.0.123

Tuttavia non funziona.

Provando con sniffit per vedere cosa succede ho riscontato le seguenti cose:

Firewall$ lynx 10.10.0.123

Vedo corettamente la pagina.
Arrivano pachetti provenienti dal firewall e destinati al indirizzo 10.10.0.123 alla porta 80.
La macchina 10.10.0.123 risponde con dei pacchetti verso il firewall.

Firewall$ lynx 123.123.123.123

Non mi risponde nulla.
Arrivano dei pacchetti vuoti provenienti dal firewall e destinati al indirizzo 10.10.0.123 alla porta 80.
La macchina risponde 10.10.0.123 al firewall con dei pachetti vuoti.

Ho provato a impostare la policy di INPUT FORWARD e OUTPUT in ACCEPT, per togliermi eventuali dubbi che qualche pacchetto venisse bloccato.

Infine ho provato a cambiare la catena con la seguente:

iptables -A OUTPUT -d 123.123.123.123 -j DNAT --to 10.10.0.123

Ovvero ho tolto il tipo di protocollo e la porta. Il ping funziona (ping 123.123.123.123 ) e la macchina che risponde al ping e' proprio la 10.10.0.123.

Una cosa che forse non ho chiarito e che l'indirizzo 123.123.123.123 e' eth2:1 del firewall.

Cercando su google ho visto diversi post con il mio problema, come soluzioni dicevano che era un problema di SNAT. Alcuni post segnalavano un baco sulla gestione del DNAT sul OUTPUT.

Io mi permetto una questione: Può essere un mio problema di routing ?

Ciao

-----------------------------------------------------
Compra e vendi su eBay: registrati gratis!
http://www.ebay.it/registrazione.html

messaggio inviato con Freemail by www.superEva.it
-----------------------------------------------------

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: IPTABLES OUTPUT & DNAT, DarK-Elf
- Re: IPTABLES OUTPUT & DNAT, Emanuele -SKULL- Balla
- Re: IPTABLES OUTPUT & DNAT, Francesco Trentini
- Re: IPTABLES OUTPUT & DNAT, Luca Berra
- Re: IPTABLES OUTPUT & DNAT, Salvatore Basso

Data:
- precedente: sam di nt 4, Mario Vittorio Guenzi
- successivo: Re: Server applicativi appartenenti al dominio, Dido
- indice

Argomento:
- precedente: Re: sam di nt 4, Simo Sorce
- successivo: Re: IPTABLES OUTPUT & DNAT, Salvatore Basso
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005