Re: [ml] Problema con Regole iptables DMZ

Il giorno gio, 30/11/2006 alle 18.18 +0100, Pignedoli Luca ha scritto:
> Ciao a tutti.
> 
> Avrei bisogno per risolvere un problemino di regole iptables.
> 
> Ho un firewall con 2 skede di rete, eth0 collegata all'esterno e eth1
> collegata alla rete dei server.
> 
> Nella rete ci sono 2 server, 1 Windows (web) e 1 Linux (mail).
> 
> Mettiamo che l'IP esterno e' 151.99.125.2, mentre l'IP interno del
> server Win e' 192.0.0.1 e quello linux 192.0.0.2.
> 
> Ora ho configurato il firewall con tutti i nat che mi servivano e tutto
> funziona, dall'esterno accedo all'interno senza problemi.
> 
> Il problemi mi si presenta quando da un server interno provo a
> collegarmi al sito o al mail server, mi spiego:
> 
> Sul server win c'Ã il web es. www.ilmioweb.it , se dal server provo a
> risolvere il nome con nslookup mi restituisce 151.99.125.2, se prerÃ
> provo a navigarci non funziona.
> 
> Ho provato a inserire la seguente regola:
> 
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 151.99.125.2
> -j DNAT --to 192.168.0.1:80
> 
> Pero' non funziona, dal server non riesco a raggiungere il sito, e
> stesso problema vale per la posta.
> 
> Come posso risolvere?

Al momento mi vengono queste soluzioni:

* crei una view sul tuo DNS in modo che gli host interni risolvano con
l'ip privato del server,

* se il server mail e web corrispondono a due ip pubblici puoi
assegnarli direttamente ai server, se non vuoi giocarti un ip pubblico
sul firewall hai 2 strade: configurare il fw come proxy arp oppure
utilizzare un ip privato sull'interfaccia interna del fw ed aggiungere
gli ip privati ai server in dmz (oltre agli ip pubblici). Quest'ultima
soluzione ti complica leggermente il routing e le configurazioni delle
macchine in dmz

* oppure dnatti o snatti sul firewall

Ciao,
	Pietro