Re: IPTABLES OUTPUT & DNAT

mi ricordo un problema simile che ho incontrato,
si incatrama fra il nat della lan verso fuori e il dnat verso la dmz
in pratica il pacchetto fa lan -> fw -> fuori dentro dalla stessa eth -> e
qui dovrebbe fare il dnat
ma non lo fa
perche' tu quando chiami www.pippo.com ti viene risolto con l'indirizzo ip
del firewall
finche' sei in lan e vieni nattato il tuo pacchetto di richiesta e'

ip_source_priv | ip_dest_publ

il tuo pacchetto arriva al firewall
e diventa

ip_source_fw | ip_dest_publ

praticamente quando tu dalla lan chiedi una connessione al tuo server web il
firewall mette il suo ip come sorgente della tua richiesta ma il problema e'
che l'ip destinatario e' sempre l'ip del firewall [che poi va a
redirezionarti col dnat al webserver]

simpatico risultato non vedi nulla =)

quindi ho risolto cosi'
un server dns interno che risponde alle interrogazioni della LAN
quando chiamano il sito dell'azienda non risponde con l'addr pubblico ma con
quello privato nella dmz
----- Original Message -----
From: <sacripante@supereva.it>
To: <ml@sikurezza.org>
Sent: Thursday, June 13, 2002 1:02 PM
Subject: IPTABLES OUTPUT & DNAT


>
> Salve,
>
> Ho riscontrato un problema configurando  la catena di output di iptables.
>
> Ho un firewall linux con 3 eth. Una e' rivolta verso la rete locale,
l'altra e' rivolta verso internet, e l'ultima per una seconda rete interna
che viene definita impropriamente "DMZ"
>
>
> Per far visualizzare dal esterno una macchina in "DMZ" ho aggiunto una
semplice regola in PREROUTING di DNAT sul Firewall come la seguente.
>
> $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d 123.123.123.123 -j
DNAT --to 10.10.0.123
>
>
> E questa regola funziona corettamente.
>
> Tuttavia dal Firewall stesso non riesco ad accedere alla macchina al suo
indirizzo ip esterno(123.123.123.123).
> Mentre al indirizzo interno ci accedo benissimo.
>
> Ho aggiunto allora questa regola nella catena di OUTPUT
>
> $IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -d 123.123.123.123 -j
DNAT --to 10.10.0.123
>
> Tuttavia non funziona.
>
> Provando con sniffit per vedere cosa succede ho riscontato le seguenti
cose:
>
> Firewall$ lynx 10.10.0.123
>
> Vedo corettamente la pagina.
> Arrivano pachetti provenienti dal firewall e destinati al indirizzo
10.10.0.123 alla porta 80.
> La macchina 10.10.0.123 risponde con dei pacchetti verso il firewall.
>
> Firewall$ lynx 123.123.123.123
>
> Non mi risponde nulla.
> Arrivano dei pacchetti vuoti provenienti dal firewall e destinati al
indirizzo 10.10.0.123 alla porta 80.
> La macchina risponde 10.10.0.123 al firewall con dei pachetti vuoti.
>
> Ho provato a impostare la policy di INPUT FORWARD e OUTPUT in ACCEPT, per
togliermi eventuali dubbi che qualche pacchetto venisse bloccato.
>
> Infine ho provato a cambiare la catena con la seguente:
>
> iptables -A OUTPUT -d 123.123.123.123 -j DNAT --to 10.10.0.123
>
> Ovvero ho tolto il tipo di protocollo e la porta. Il ping funziona (ping
123.123.123.123 ) e la macchina che risponde al ping e' proprio la
10.10.0.123.
>
> Una cosa che forse non ho chiarito e che l'indirizzo 123.123.123.123 e'
eth2:1 del firewall.
>
> Cercando su google ho visto diversi post con il mio problema, come
soluzioni dicevano che era un problema di SNAT. Alcuni post segnalavano un
baco sulla gestione del DNAT sul OUTPUT.
>
> Io mi permetto una questione: Puņ essere un mio problema di routing ?
>
> Ciao
>
> -----------------------------------------------------
> Compra e vendi su eBay: registrati gratis!
> http://www.ebay.it/registrazione.html
>
> messaggio inviato con Freemail by www.superEva.it
> -----------------------------------------------------
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List