[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Giugno 2006 ml@sikurezza.org
Soggetto: [ml] Strano problema di iptables
Mittente: Gelpi Andrea
Data: Wed,  7 Jun 2006 09:37:20 +0200 (CEST)
Salve,
sto cercando di sistemare una configurazione di firewall/routing un po' particolare.


Su una Debian testing fully patched a questa mattina ho 4 reti.

2 linee ADSL e 2 LAN.

Ho la necessità di far in modo che solo alcuni IP delle due LAN escano su 1 ADSL, tutti gli altri devono uscire dall'altra ADSL.

Usando il comando ip route e ip rule ho creato due tabelle x le due adsl in modo che ciò che entra da una adsl torni indietro dalla stessa interfaccia.

Il Default gateway punta ad una sola delle adsl.

Nella tabella nat POSTROUTING ci sono le regole x fare SNAT (usate dagli IP delle due LAN).

Al momento tutto esce correttamente da una sola ADSL.

Ho verificato che il comando ping -I altra adsl funziona correttamente, così come l'ssh forzando il bind alla seconda adsl.

Quindi tutto esce ed entra dalla prima adsl e se chiedo di passare dalla seconda il traffico funziona regolarmente.

A questo punto nella mangle table ho messo in PREROUTING una regola per marcare i pacchetti che voglio escano dalla seconda ADSL.

Ho aggiunto la ip rule relativa.
I pacchetti in questione sono in transito sulla linux box, cioè arrivano da una delle due lan e devono andare verso internet.


Ora con tcpdump vedo i pacchetti uscire dalla Adsl giusta e vedo tornare le risposte, che però muoiono subito dopo.

Facendo del debug ho scoperto che i pacchetti di ritorno passano dalla mangle PREROUTING table, ma non trovo traccia di questi pacchetti nella nat PREROUTING table.

Sono ore che giro sul sito di netfilter e non solo alla ricerca di spiegazioni.

Avete dei link da suggerirmi? Che cosa devo/posso guardare?

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************







[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005