Reti locali
 

Mi date una mano con iptables??

Danilo Larizza 4 Feb 2015 15:26
Salve a tutti,
ho una macchina linux che mi fa da firewall (Openwrt).

la macchina ha 3 schede di rete.

eth0 192.168.0.1
eth1 10.0.0.1
eth2 172.x.x.x

ho la necessità di creare una regola con iptables in modo tale che
qualsiasi computer presente sulla eth0 (192.168.0.x) invii pacchetti
all'interno o in transito della linuxbox come se avesse un ip 10.0.0.100.

Quindi devo nattare tutto ciò che entra dalla 192 e trasformarlo in
10.0.0.100.

Chi mi da una mano?

Grazie mille
Danilo
THe_ZiPMaN 4 Feb 2015 16:50
On 02/04/2015 03:26 PM, Danilo Larizza wrote:
> Salve a tutti,
> ho una macchina linux che mi fa da firewall (Openwrt).
>
> la macchina ha 3 schede di rete.
>
> eth0 192.168.0.1
> eth1 10.0.0.1
> eth2 172.x.x.x
>
> ho la necessità di creare una regola con iptables in modo tale che
> qualsiasi computer presente sulla eth0 (192.168.0.x) invii pacchetti
> all'interno o in transito della linuxbox come se avesse un ip 10.0.0.100.

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100

--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Rodolfo 4 Feb 2015 19:46
>> ho la necessità di creare una regola con iptables in modo tale che
>> qualsiasi computer presente sulla eth0 (192.168.0.x) invii pacchetti
>> all'interno o in transito della linuxbox come se avesse un ip 10.0.0.100.
>
> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100
>

non deve impostare anche "il ritorno" ?
Danilo Larizza 5 Feb 2015 08:32
Se non sbaglio in fase di nat...si tiene traccia di cio che traduce...e
organizza anche il ritorno.

correggetemi se sbaglio

Danilo



Il 04/02/2015 19:46, Rodolfo ha scritto:
>
>>> ho la necessità di creare una regola con iptables in modo tale che
>>> qualsiasi computer presente sulla eth0 (192.168.0.x) invii pacchetti
>>> all'interno o in transito della linuxbox come se avesse un ip
>>> 10.0.0.100.
>>
>> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100
>>
>
> non deve impostare anche "il ritorno" ?
>
Rodolfo 5 Feb 2015 13:23
Il 05/02/2015 08:32, Danilo Larizza ha scritto:
> Se non sbaglio in fase di nat...si tiene traccia di cio che traduce...e
> organizza anche il ritorno.

ora non ho voglia. nel week and alzo tre macchine virtuali e provo.

ciao
Valerio Vanni 5 Feb 2015 13:32
On Wed, 04 Feb 2015 19:46:51 +0100, Rodolfo <Rodolfo@rodolfo.com>
wrote:

>> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100
>>
>
>non deve impostare anche "il ritorno" ?

Quello si fa nella tabella FORWARD, che (si spera) ha il default su
DROP

iptables -A FORWARD -i eth1 -o eth0 -d 192.168.0.0/24 -m state --state
ESTABLISHED,RELATED -j ACCEPT

--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Rodolfo 5 Feb 2015 15:58
>
> iptables -A FORWARD -i eth1 -o eth0 -d 192.168.0.0/24 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>


effettivamente hai ragione :-)
ricordavo male.
esperimento risparmiato qst week end
THe_ZiPMaN 6 Feb 2015 01:29
On 02/04/2015 07:46 PM, Rodolfo wrote:
>> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100
>
> non deve impostare anche "il ritorno" ?

Ti hanno già risposto, ma completo. La regola scritta è solo per il nat,
e il nat usa il modulo conntrack per tenere traccia delle modifiche ai
pacchetti. I pacchetti di ritorno sono sempre implicitamente ri-nattati
altrimenti non potrebbe mai funzionare la comunicazione.

Non ho scritto alcuna regola di filtering (quindi tabella filter chain
FORWARD) perché non erano richieste nella domanda ed ho quindi pensato
che non si tratti di un vero firewall ma più di un router interno in cui
sia solo da far apparire tutto come proveniente da una rete diversa, per
esempio per la presenza di controlli a valle.

Nel caso del filtering ovviamente va gestita la "statefullness" :)

C'è da dire che spesso la si lascia come implicita, ovvero la prima
regola della catena di FORWARD è sempre:

iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Regola che va benissimo nel 99% dei casi comuni senza inficiare la
sicurezza della rete (ovvero prima di curare la gestione degli stati per
singole regole sono da applicare millemila altri accorgimenti di cui il
99% delle persone manco conosce l'esistenza).


--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Rodolfo 6 Feb 2015 07:01
Il 06/02/2015 01:29, THe_ZiPMaN ha scritto:
> On 02/04/2015 07:46 PM, Rodolfo wrote:
>>> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to 10.0.0.100
>>
>> non deve impostare anche "il ritorno" ?

>
> Regola che va benissimo nel 99% dei casi comuni senza inficiare la
> sicurezza della rete (ovvero prima di curare la gestione degli stati per
> singole regole sono da applicare millemila altri accorgimenti di cui il
> 99% delle persone manco conosce l'esistenza).
>
>


tutto ok, grazie X la completezza. mi ero confuso, tutto li :-)

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.