> > Pero' prima ho un problema su IPTABLES. Il mio obiettivo e' nattare la > porta 80 verso un'altra macchina... > > # Nego ingresso > iptables -P INPUT DROP > # Nego dialogo tra schede > iptables -P FORWARD DROP > # Accetto il traffico in uscita > iptables -P OUTPUT ACCEPT
le regole di default sono ugiuali alle mie > > # www > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to > $WEBSERVER:80 > > # ssh > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to > $FIREWALL:22 > > Tutto funzia bene. Le macchine interne navigano benissimo (questo msg > ne e' la prova), anche SSH viene rediretta al Firewall (che e' la > macchina dove c'e' il modem). Mentre il web server non va. > > Secondo me i pacchetti dal webserver non riescono a tornare > indietro... hai qualche idea? > ti manca il forward di ritorno che per ssh non server perche' e' la macchina che e' soggetta alle regole di input, infatti la riga di prerouting e' inutile in quanto tu fai il routing dall'indirizzo esterno $MYIP del firewall all'indirizzo interno $FIREWALL della stessa macchina, giusto ? quindi lascia solo la regola di input, il prerouting nn serve, fai solo un salto in piu' al traffico di rete. Per quel che riguarda il web server io per forwardare dentro la dmz il traffico iptables -t nat -A PREROUTING -p tcp --dport 80 -d INDIRIZZO_IP_ESTERNO -j DNAT --to-destination INDIRIZZO_IP_INTERNO iptables -A FORWARD -p tcp --dport 80 -d INDIRIZZO_IP_INTERNO -j ACCEPT iptables -A FORWARD -s INDIRIZZO_IP_INTERNO -m state --state ESTABLISHED,RELATED -j ACCEPT # quindi a te manca una cosa del tipo iptables -A FORWARD -s $WEBSERVER -m state --state ESTABLISHED,RELATED -j ACCEPT e al posto di $WEBSERVER:80 puoi mettere solo $WEBSERVER perche' la porta e' la sempre la 80, se invece cambiavi anche quella la dovevi specificare,. prova e vediamo se c'ho indovinato :-D saludos LoSpippolo Aiuta anche tu a combattere la deriva dei continenti. Sposta un'isola. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
