Re: [ml] Con Iptables da IP pubblico a provato

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2005 ml@sikurezza.org
Soggetto: Re: [ml] Con Iptables da IP pubblico a provato
Mittente: sikurezza
Data: Thu, 29 Dec 2005 09:51:49 +0100 (CET)

> Di fatto, ci sono due mail server che si devono consegnare la posta fra di se, 
> succede per? che il DNS che interrogano restituisce, giustamente, l'IP 
> pubblico, che per? dalla rete interna non risponde, quindi le email rimangono 
> in coda. Tutto ok per quelle verso l'esterno.
>

Se il problema sono i DNS, bind supporta le view, puoi usare quelle e
mantenendo l'attuale configurazione e levando il dns in piu replicato,
che e' del tutto inutile.

> Dato che i server sono GNU/Linux, ? possibili creare una regola di iptables 
> che mi fa girare in modo trasparente le richieste verso la classe pubblica a 
> quella provata?
>

O vuoi una cosa trasparente, o vuoi fare DNAT.
Le prove che hai fatto in PREROUTING sono giuste, ma forse non ci hai
messo -t nat, comunque ti consiglio di leggerti un po' la documentazione
e un how-to di netfilter, un destination nat e' una cosa banale e che
necessita solamente una conoscenza di base di iptables.
Ricorda che se usi questa soluzione dovrai probabilmente anche fare il
contrario in uscita, quindi snattare gli ip interni a pubblici,
quantomeno per il mailserver in maniera da poter gestire eventuali
reverse per le connessioni che partono dall'interno.

Potresti magari pensare di utilizzare qualcosa come shorewall o simili, 
che rendono la gestione di iptables decisamente piu comoda e friendly.

Se invece vuoi una soluzione che sia davvero trasparente,  ovvero
mettere gli ip pubblici direttamente sui server, leggiti qualcosa a
riguardo di ebtables, e naturalmente il man di brctl e qualche how-to
sul bridging sotto linux.


-- 

Franco (nextime) Lanza
Network Admin - http://www.nexlab.it
tel: +39 339 8125940
Fax: +39 02 48370447
Milano - Italy

NO TCPA: http://www.no1984.org
you can download my public key at:
http://danex.nexlab.it/nextime.asc || Key Servers
Key ID = B9072C07
Key fingerprint = A95E 1EEA D138 64E5 45E8  77F0 6A00 E037 B907 2C07
-----------------------------------
echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc
-----------------------------------

Attachment: signature.asc
Description: Digital signature

In risposta a:
- [ml] Con Iptables da IP pubblico a provato, Alessio Cecchi

Data:
- precedente: Re: [ml] Con Iptables da IP pubblico a provato, Buttha
- successivo: Re: [ml] Con Iptables da IP pubblico a provato, Alessio Cecchi
- indice

Argomento:
- precedente: Re: [ml] Con Iptables da IP pubblico a provato, Paolo Ottolino
- successivo: Re: [ml] Con Iptables da IP pubblico a provato, Luigi Mori
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005