Re: [ml] Con Iptables da IP pubblico a provato

Il giorno gio, 29/12/2005 alle 15.24 +0100, Americo Scanga ha scritto:
> Il giorno gio, 29/12/2005 alle 12.21 +0100, Alessio Cecchi ha scritto:
> 
> > Ecco le mie regole:
> > 
> > (supponiamo di avere mail1 e mail2)
> > 
> > su mail1
> > 
> > iptables -t nat -A PREROUTING -i eth0 -d $ip-pubblico-server-mail2 -p
> > tcp âdport 25 -j DNAT --to $ip-privato-server-mail2
> > 
> > Nelle mie intenzioni tutte le richieste dirette verso l'IP pubblico del
> > mail2 porta 25 dovrebbero andare verso l'IP privato del mail2.
> > 
> > Ma un banale "telnet mail2-ip-pubblico 25" da mail1 non mi mostra il
> > prompt dell'SMTP.
> 
> Bisogna anche mascherare il traffico sorgente con una regola del genere:
> iptables -t nat -A POSTROUTING -o eth0 -p tcp -s $sorgente -d
> $ip-privato-server-mail2 --dport 25 -j MASQUERADE
> 
> e controllare che il forward non venga bloccato da qualche regola del
> firewall.
> 

Scusate, non avevo letto con sufficiente attenzione: questo e' un lavoro
che deve svolgere il firewall, non so dove si puo' arrivare con questa
strada.

Innanzitutto, comunque, non e' PREROUTING la catena interessata: i
pacchetti sono generati in locale da mail1 e pertanto la catena corretta
à quella di OUTPUT.

Prova con questa regola:
iptables -t nat -A OUTPUT -o eth0 -d $ip-pubblico-server-mail2 -p tcp
â-dport 25 -j DNAT --to $ip-privato-server-mail2

se mail1 e mail2 sono nella stessa sottorete dovrebbe funzionare.

Ciao.

Americo Scanga 
System Administrator

Simpres s.r.l. Via C. Abba, 6 - 50129 Firenze (ITALY)
Tel. (+39) 055.46.30.420 - Fax (+39) 055.46.32.336
Internet: www.simpres.it   E-mail: mktg@xxxxxxxxxx

Attachment: smime.p7s
Description: S/MIME cryptographic signature