[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2003 ml@sikurezza.org Soggetto: Re: aiuto problema a configurare reverse nat Mittente: Emanuele Balla aka Skull Data: 24 Nov 2003 22:38:56 -0000
On Thursday 20 November 2003 23:07, Leonardo Lacchini wrote: > cosi' quando un utente dalla sua macchina 10.x.x.x sulla rete VPN > inserisce nel proprio brower l'indirizzo 10.y.y.y in realta' risponde > una della macchine 192.168.x.x > > mi sono documentato e questa tecnica si chiama "reverse nat", solo > che ho trovato pochissima documentazione su di essa, praticamente > solo teorica! ed io non ho l'esperienza necessaria per venirne a capo mah.. non so se capisco qualcosa di diverso da quello che vuoi realmente intendere, perchè il termine "reverse nat" in realtà non lo ho mai sentito applicare, ma probabilmente è mancanza mia... D'altra parte, la terminologia in giro è vasta e sviante... Il concetto comunque, lo puoi dividere in 3 parti: 1) per ogni macchina effettui il nat statico, da ip a ip, in entrambe le direzioni (non indispensabile, ma ti mette al riparo da malfunzionamenti in alcuni casi). Es: # da DX a SX iptables -A PREROUTING -t nat -i $DX_DEV -d 10.1.1.1 -j DNAT --to-destination 192.168.1.1 # da SX a DX iptables -A POSTROUTING -t nat -o $DX_DEV -s 192.168.1.1 -j SNAT --to-source 10.1.1.1 2) apri quanto necessario nella catena di forward, badando di riferirti agli ip "a nat effettuato". Es. porta 80 raggiungibile dalla DX: # Creo lo state iptables -A FORWARD -i $DX_DEV -o $SX_DEV -d 192.168.1.1 -p tcp --dport 80 -m state --state NEW -j ACCEPT # Abilito quanto appartiene allo state iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT 3) gestisci gli arp per le macchine nattate: se all'arp non risponde nessuno, ad un inizio di connessione non ci arrivi mai. A seconda di gusti e necessità, puoi creare un alias sulla interfaccia esterna (la $DX dell'esempio) per ognuno degli ip da nattare, oppure ricorrere all'uso di proxy arp. Uno skull che prega di averla imbroccata... -- The Skull says: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Nothing to say with this... ignore it... ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005