Reti locali
 

nat in rete locale

sunoz 10 Ago 2015 17:24
Debbo far credere che i pacchetti vengono da rete interna.

Ho il classico modem-router che mi fa nat della 80 su un serverino interno con
una debian. Questo serverino mi deve fare nat ad un access point al fine di
poterlo gestire da esterno, previo uno script che attivo allo scopo:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to $AP
iptables -t nat -A POSTROUTING -d $AP -p tcp --dport 80 -j SNAT --to $SERVER

Ove AP è lindirizzo locale dell'access point e SERVER è l'indirizzo locale
del serverino con debian.

Da internet ci accedo (vedo la pagina di login), ma dato che l'AP è impostato
per accedere alla configurazione SOLO da rete locale, mi sa tanto che il gioco
fatto si porta dietro l'IP da dove mi connetto, per cui mi rifiuta l'accesso.
Come debbo modificare le due righe sopra (le uniche nella tabella nat del
serverino) per far credere che l'accesso all'AP avvenga dal serverino,
anzichè da internet?

Attualmente, accedo con ssh al serverino, attivo uno script che mi scrive le
due righe in iptables, poi dopo un tempo prefissato, cancella la tabella nat e
blocca l'accesso.




--
Qualsiasi serratura apribile si puo' aprire.
Qualsiasi combinazione, col tempo si trova.
Inutile stringere le ******* Il martello pneumatico, vince sempre!
Skull 10 Ago 2015 17:30
On 10/08/15 17:24, sunoz wrote:
> Debbo far credere che i pacchetti vengono da rete interna.
>
> Ho il classico modem-router che mi fa nat della 80 su un serverino interno con
> una debian. Questo serverino mi deve fare nat ad un access point al fine di
> poterlo gestire da esterno, previo uno script che attivo allo scopo:
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to $AP
> iptables -t nat -A POSTROUTING -d $AP -p tcp --dport 80 -j SNAT --to $SERVER
>
> Ove AP è lindirizzo locale dell'access point e SERVER è l'indirizzo locale
> del serverino con debian.
>
> Da internet ci accedo (vedo la pagina di login), ma dato che l'AP è impostato
> per accedere alla configurazione SOLO da rete locale, mi sa tanto che il gioco
> fatto si porta dietro l'IP da dove mi connetto, per cui mi rifiuta l'accesso.
> Come debbo modificare le due righe sopra (le uniche nella tabella nat del
> serverino) per far credere che l'accesso all'AP avvenga dal serverino,
> anzichè da internet?

In teoria sta già avvenendo; è quel che fa la seconda riga.
Ergo prima devi capire cosa sta intervenendo a inibirti l'accesso; non
sembra essere il mero IP sorgente della tua richiesta http...
sunoz 10 Ago 2015 18:37
Skull <skull@bofhland.org> wrote:
> In teoria sta già avvenendo; è quel che fa la seconda riga.
> Ergo prima devi capire cosa sta intervenendo a inibirti l'accesso; non
> sembra essere il mero IP sorgente della tua richiesta http...

Il modem router, che accedo con lo stesso trucco funziona, ma è di bocca
buona, l'AP mi da password errata, ma funziona, nel senso che uno dei 2
dispositivi connessi è in rete, il secondo no, per cui volevo vedere nei log
se c'era qualche problema.

So che l'AP, se mi connetto in wifi mi mostra sempre la pagina di login,
indipendentemente della password (è disabilitato il management wifi).

Non mi era mai capitato di dover gestire l'AP da internet.
Pensavo fosse un problema di sicurezza legato all'IP esterno a bloccare.



--
Qualsiasi serratura apribile si puo' aprire.
Qualsiasi combinazione, col tempo si trova.
Inutile stringere le ******* Il martello pneumatico, vince sempre!
-Fabio- 10 Ago 2015 23:02
Il 10/08/2015 17:24, sunoz ha scritto:
> Attualmente, accedo con ssh al serverino, attivo uno script che mi scrive le
> due righe in iptables, poi dopo un tempo prefissato, cancella la tabella nat e
> blocca l'accesso.

Domanda: se hai già esposto ssh, non è meglio usare il tunnel ssh per le
porte remote? Mi sembra più sicuro.

Saluti
Fabio
sunoz 11 Ago 2015 19:15
-Fabio- <pippolandia@email.it> wrote:
> Il 10/08/2015 17:24, sunoz ha scritto:
> Domanda: se hai già esposto ssh, non è meglio usare il tunnel ssh per le
> porte remote? Mi sembra più sicuro.
>

Ssh su porta non standard, utente root disabilitato, accesso tramite
certificato, lo script lo attivo solo quando mi serve (praticamente quasi mai)
ed ha un timeout di 10 minuti.

Concordo, che se dovessi usare spesso quella connessione il tunnel è più
sicuro, ma dato il rarissimo uso...



--
Qualsiasi serratura apribile si puo' aprire.
Qualsiasi combinazione, col tempo si trova.
Inutile stringere le ******* Il martello pneumatico, vince sempre!
Andrea B. 18 Ago 2015 13:06
Il 11/08/2015 19.15, sunoz ha scritto:
> -Fabio- <pippolandia@email.it> wrote:
>> Il 10/08/2015 17:24, sunoz ha scritto:
>> Domanda: se hai già esposto ssh, non è meglio usare il tunnel ssh per le
>> porte remote? Mi sembra più sicuro.
>>
>
> Ssh su porta non standard, utente root disabilitato, accesso tramite
> certificato, lo script lo attivo solo quando mi serve (praticamente quasi mai)
> ed ha un timeout di 10 minuti.
>
> Concordo, che se dovessi usare spesso quella connessione il tunnel è più
> sicuro, ma dato il rarissimo uso...
>
>
>
Più sicuro, più semplice, più rapido.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.