ciao, mi sto configurando iptables in maniera "paranoica" direi.. ma penso sia utile x capire come vengono trasmessi i pacchetti. Innanzitutto spiego la mia situazione.
Server linux debian con 2 eth (eth0 192.168.0.2 eth1 10.10.1.1) collego ad un router 192.168.0.2 Questo server mi fa da firewall e server mail. Server dns windows con ip 10.10.1.3 Parto dal fatto che ho messo a DROP tutte le regole di default INPUT - FORWARD - OUTPUT - PREROUTING E POSTROUTING. Per ora mi sono limitato a creare delle regole che mi consentono di risolvere il dns esterno e di navigare da un pc. Ecco ciò che ho scritto: ###### GESTIONE DNS #################################################################################### ###### IP DNS 10.10.1.3 (SERVER WINDOWS) ## FASE 1: UN PC INTERROGA IL DNS 10.10.1.3 PER RISOLVERE L'INDIRIZZO DI UN SITO WEB - LINUX NON FA NULLA ## FASE 2: IL DNS 10.10.1.3 INTERROGA INTERNET PER RISOLVERE L'INDIRIZZO ## IL SERVER LINUX DEVE FAR PASSARE IL PACCHETTO UDP PER IL DNS DEL PROVIDER ## PERCORSO DI ANDATA DEL PACCHETTO UDP iptables -t nat -A POSTROUTING -p udp --dport 53 -s 10.10.1.3 -j MASQUERADE iptables -t filter -A FORWARD -p udp -s 10.10.1.3 -d 0/0 -j ACCEPT iptables -t filter -A INPUT -p udp -i eth1 --sport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT ## IL DNS DEL PROVIDER RISPONDE E IL PACCHETTO RITORNA INDIETRO iptables -t filter -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp -o eth1 --dport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp -s 10.10.1.3 -d 0/0 -j ACCEPT iptables -t nat -A PREROUTING -p udp --dport 53 -d 10.10.1.3 -j DNAT --to 10.10.1.3:53 ##### GESTIONE NAVIGAZIONE WEB ########################################################################### #### DA PC CON IP 10.10.1.3 #### PACCHETTO IN ANDATA iptables -t filter -A FORWARD -p tcp -s 10.10.1.3 -d 0/0 --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -p tcp --dport 80 -s 10.10.1.3 -j MASQUERADE #### PACCHETTO IN RITORNO iptables -t filter -A FORWARD -p tcp -d 10.10.1.3 -s 0/0 --sport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 10.10.1.3 --dport 80 -j DNAT --to 10.10.1.3:80 Avendo impostato a drop le policy di default devo specificare passo dopo passo ciò che il pacchetto fa.. Diciamo che il discorso funziona ma volevo sapere da voi se è corretto come funzionamento delle regole anche se sicuramente è troppo paranoica.. ciao ------------------------------------------------------ Passa a Infostrada. ADSL e Telefono senza limiti e senza canone Telecom http://click.libero.it/infostrada