Rotte, Iptables e shorewall
Buongiorno a tutti, ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che fanno da firewall gateway ognuna su una linea diversa(ovviamente). Le 2 macchine hanno IP interno rispettivamente perseo 192.168.2.240 sangiorgio 192.168.2.237 sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway aziendale per Internet, la pacchina Master e' perseo, e sangiorgio interviene solo se dall'altra parte non c'e' linea. Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro, per mia comodita' ho deciso che il traffico VPN deve passare tutto su sangiorgio (macchina slave). Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira, molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al cui confronto Godzilla e' un simpatico peluche. Vorrei passare a shorewall e avere una gestione un po piu' "semplice" Attualmente ottengo il risultato voluto con un "pacchetto" di regole come questo: $IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \ -p tcp --dport 775 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT --to-destination $CHIMERA:775 $IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT $IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP l'ultima regola in particolare e' quella che mi fa si che tutto il traffico vpn passi da dove voglio io Come faccio una cosa del genere su shorewall (ammesso si possa fare)? Grazie in anticipo. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Rotte, Iptables e shorewall
Il 02/03/2016 13:40, Mario Vittorio Guenzi ha scritto: Buongiorno a tutti, ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che fanno da firewall gateway ognuna su una linea diversa(ovviamente). Le 2 macchine hanno IP interno rispettivamente perseo 192.168.2.240 sangiorgio 192.168.2.237 sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway aziendale per Internet, la pacchina Master e' perseo, e sangiorgio interviene solo se dall'altra parte non c'e' linea. Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro, per mia comodita' ho deciso che il traffico VPN deve passare tutto su sangiorgio (macchina slave). Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira, molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al cui confronto Godzilla e' un simpatico peluche. Vorrei passare a shorewall e avere una gestione un po piu' "semplice" Attualmente ottengo il risultato voluto con un "pacchetto" di regole come questo: $IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \ -p tcp --dport 775 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT --to-destination $CHIMERA:775 $IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT $IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP l'ultima regola in particolare e' quella che mi fa si che tutto il traffico vpn passi da dove voglio io Come faccio una cosa del genere su shorewall (ammesso si possa fare)? Grazie in anticipo. Shorewall ha regole sia per dnat che per snat. http://shorewall.net/NAT.htm Luciano