Re: aiuto problema a configurare reverse nat

On Thu, Nov 20, 2003 at 11:07:02PM +0100, Leonardo Lacchini wrote:
> ciao a tutti!
>
> devo realizzare una macchina firewall linux (quindi direi iptables) che
> faccia da nat, pero' al contrario! ovvero reverse-nat

il reverse-nat non esiste, ci sono due tipi di nat
Source NAT
       l'indirizzo ip sorgente del primo* pacchetto viene modificato dal
       router
Destination Nat
       l'indirizzo ip destinazione del primo* pacchetto viene modificato dal
       router

(il cosiddetto pat rientra nel primo caso)
(*) dico primo perche' ovviamente nelle reply viene fatto l'opposto


> cosi' quando un utente dalla sua macchina 10.x.x.x sulla rete VPN inserisce
> nel proprio brower l'indirizzo 10.y.y.y in realta' risponde una della
> macchine 192.168.x.x
Destination nat

> avete idea di come si potrebbe fare?

iptables -A PREROUTING -i eth0 -d 10.y.y.y -j DNAT --to-destination 192.168.x.x

l'unica cosa di cui devi tener conto e' che questo comando non fa
automaticamente rispondere il tuo firewall alle richieste arp per
10.y.y.y, questo non sarebbe un problema se il tuo fw fosse il default
router della rete 10/8, ma non credo che lo sia:
per ogni indirizzo che vuoi nattare devi fare manualmente:
       ifconfig eth0:z 10.y.y.y

in teoria dovrebbe andare anche
       arp -Ds 10.y.y.y eth0 pub

ma non mi funzia (anche settando net.ipv4.conf.eth0.proxy_arp)

L.


--
Luca Berra -- bluca@xxxxxxxxxx
       Communication Media & Services S.r.l.
/"\
\ /     ASCII RIBBON CAMPAIGN
 X        AGAINST HTML MAIL
/ \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List