On Thu, Aug 07, 2003 at 11:01:16PM +0200, MaX wrote: > On Thu, 7 Aug 2003 10:23:19 +0200 > Mattia Dongili <[EMAIL PROTECTED]> wrote: > > > ho capito bene? > > credo di no, probabilmente ho semplificato troppo :) > > > > mi spieghi meglio la situazione? suppongo tu abbia una macchina che > > nei DNS e' 212.10.10.10 e vuoi redirigere tutto il traffico su quella > > di backup (.11) > > no... il fatto e che il 212.10.10.10 è il firewall... > > il firewall ha una DMZ su 212.10.10.15 e 212.10.10.20 > > Fa anche NAT alla rete interna su 192.168.1.xxx > > Essendo il firewall un cisco, e avendo il responsabile nei caraibi > fino alla fine si settembre, non possiamo accedere ad esso per > cambiargli l'indirizzo IP sull'interfaccia esterna. Perchè > cambiare l'indirizzo?.... semplice, una nostra filiale lontana, ha > una macchina ftp per noi molto importante... purtroppo per errore > hanno impostato una regola nel loro firewall che limita la nostra > ampiezza di banda, e essendo tutti incompetenti da quelle parti, non > sanno dove mettere le mani... in ogni caso sarà a settembre, dopo > le ferie.
proviamo a semplificare: se la macchina linux filtrasse solamente le connessioni ftp dirette alla vs. filiale lontana? ovvero siccome tanto c'e' il FW Cisco in mezzo: - tutte le policy ACCEPT - e poi masquerare solo le connessioni verso la filiale lontana, tipo: iptables -t nat -A POSTROUTING -o ethX -p tcp -d <FilialeLontana> -j MASQUERADE iptables -t nat -A POSTROUTING -o ethX -p tcp -d <FilialeLontana> -j MASQUERADE non ho provato (e non so dirti se funziona, ma non ne vedo il motivo) eventualmente puoi provare a fare lo SNAT e DNAT esplicitamente quindi modificando il tuo schemino (mi diverte la ascci art :) INTERNET FilialeLontana ^ | v +------+ | | +------------------+ | | <MASQ> | | Linux + iptables | | 212.10.10.11 | +------------------+ | +-----------------------+ | Cisco FW 212.10.10.10 | +-----------------------+ | | (NAT su 192.168.1.xxx) | | DMZone | | +------------------+ | | | ftp 212.10.10.15 | | | | web 212.10.10.20 |--+ | +------------------+ | | MZone | +--------------+ | Rete interna | +--------------+ spero di non aver detto castronerie memorabili :) -- mattia :wq!