Re: IPTABLES OUTPUT & DNAT

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: IPTABLES OUTPUT & DNAT
Mittente: Salvatore Basso
Data: 18 Jun 2002 02:52:05 -0000

----- Original Message -----
From: <sacripante@supereva.it>
To: <ml@sikurezza.org>
Sent: Thursday, June 13, 2002 1:02 PM
Subject: IPTABLES OUTPUT & DNAT


>
> Salve,
>
> Ho riscontrato un problema configurando  la catena di output di iptables.
>
> Ho un firewall linux con 3 eth. Una e' rivolta verso la rete locale,
l'altra e' rivolta verso internet, e l'ultima per una seconda rete interna
che viene definita impropriamente "DMZ"
>
>
> Per far visualizzare dal esterno una macchina in "DMZ" ho aggiunto una
semplice regola in PREROUTING di DNAT sul Firewall come la seguente.
>
> $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d 123.123.123.123 -j
DNAT --to 10.10.0.123
>
>
> E questa regola funziona corettamente.
>
> Tuttavia dal Firewall stesso non riesco ad accedere alla macchina al suo
indirizzo ip esterno(123.123.123.123).
> Mentre al indirizzo interno ci accedo benissimo.
>
> Ho aggiunto allora questa regola nella catena di OUTPUT
>
> $IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -d 123.123.123.123 -j
DNAT --to 10.10.0.123
>
> Tuttavia non funziona.
>
> Provando con sniffit per vedere cosa succede ho riscontato le seguenti
cose:
>
> Firewall$ lynx 10.10.0.123
>
> Vedo corettamente la pagina.
> Arrivano pachetti provenienti dal firewall e destinati al indirizzo
10.10.0.123 alla porta 80.
> La macchina 10.10.0.123 risponde con dei pacchetti verso il firewall.
>
> Firewall$ lynx 123.123.123.123
>
> Non mi risponde nulla.
> Arrivano dei pacchetti vuoti provenienti dal firewall e destinati al
indirizzo 10.10.0.123 alla porta 80.
> La macchina risponde 10.10.0.123 al firewall con dei pachetti vuoti.
>
> Ho provato a impostare la policy di INPUT FORWARD e OUTPUT in ACCEPT, per
togliermi eventuali dubbi che qualche pacchetto venisse bloccato.
>
> Infine ho provato a cambiare la catena con la seguente:
>
> iptables -A OUTPUT -d 123.123.123.123 -j DNAT --to 10.10.0.123
>
> Ovvero ho tolto il tipo di protocollo e la porta. Il ping funziona (ping
123.123.123.123 ) e la macchina che risponde al ping e' proprio la
10.10.0.123.
>
> Una cosa che forse non ho chiarito e che l'indirizzo 123.123.123.123 e'
eth2:1 del firewall.
>
> Cercando su google ho visto diversi post con il mio problema, come
soluzioni dicevano che era un problema di SNAT. Alcuni post segnalavano un
baco sulla gestione del DNAT sul OUTPUT.
>
> Io mi permetto una questione: Può essere un mio problema di routing ?
>

Ciao, io uso:

$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP --dport
> >80 -j DNAT --to-destination $DMZ_HTTP_IP
e non mi da problemi...ho aggiunto rispetto alla tua rules l'interfaccia di
ingresso.

        -Salvatore.




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- IPTABLES OUTPUT & DNAT, sacripante

Data:
- precedente: Re: sam di nt 4, Simo Sorce
- successivo: Re: IPTABLES OUTPUT & DNAT, Luca Berra
- indice

Argomento:
- precedente: IPTABLES OUTPUT & DNAT, sacripante
- successivo: Re: IPTABLES OUTPUT & DNAT, Luca Berra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005