Re: dubbio sul funzionamento dns e iptables in una rete mista

2007-04-20 Per discussione Andrea Zagli 
Il giorno lun, 16/04/2007 alle 23.52 +0200, Wannabe.mail ha scritto:
 [...]

 POSTROUTING
 
 La strada di ritorno invece i pacchetti la conoscono già o devo fare 
 qualcosa?

la conoscono gia'... se hai abilitato il connection tracking di iptables

in pratica devi mettere all'inizio della catena forward una regola del
tipo

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

e avere il connection tracking abilitato nel kernel... ma visto che usi
il masquerade e' gia' su


signature.asc
Description: Questa è una parte del messaggio	firmata digitalmente

dubbio sul funzionamento dns e iptables in una rete mista

2007-04-16 Per discussione Wannabe.mail 

ciao, vi spiego la mia situazione... e i miei dubbi

Firewall linux debian con 2 eth (una al router e una alla rete) 
192.168.0.1 e 10.10.1.1

Server dns windows 2003 con AD 10.10.1.3

La mia curiosità è la seguente:
quando da un pc della rete ( 10.10.1.4) vado a digitare nel browser 
www.debian.it i pacchetti che giro fanno prima

di darmi la pagina web disponibile?

Presumo ci sia prima un interrogazione dns e poi html...

Funziona cosi ??
una volta dato invio alla browser il pc (10.10.1.4 ) interroga il dns 
(10.10.1.3) su chi sia www.debian.it ..
Il server dns 10.10.1.3 gli risponde e poi sempre il pc 10.10.1.4 dice 
al fw 10.10.1.1 di andare a interrogare
la porta 80 del sito www.debian.it e spedisce i pacchetti assumendo l'ip 
pubblico di quel momento (MASQUERADE)


quindi quando interrogo il dns il pacchetto del pc 10.10.1.4 non passa 
per il fw ? ma è il pacchetto del mio server

che passa per il fw per effettuare l'interrogazione.
Fin qui è corretto?

Una volta che il sito risponde le pagine vengono inviate al mio ip 
pubblico , vengono passate al fw 10.10.1.1 il quale

fa la funzione inversa del MASQUERADE e le passa al pc 10.10.1.4

Tutto questo per capire come devo impostare iptables volendo creare 
delle regole restrittive che vanno a gestire ogni
singolo servizio (53 - 80 ...) e che consentano ai pc della mia rete e 
ai due server di navigare in internet


se cio che ho scritto è corretto allora devo:

1) Permettere al server 10.10.1.3 di passare per il fw per interrogare 
il dns -- regola di forward.
2) Deve uscire facendo il masquerade? quindi ci vorra anche una regola 
POSTROUTING
3) Permettere al pc della rete 10.10.1.4 di passare per il fw avendo 
come porta di destinazione la 80 -- Forward
4) Deve uscire facendo il masquerade? quindi ci vorra anche una regola 
POSTROUTING


La strada di ritorno invece i pacchetti la conoscono già o devo fare 
qualcosa?


Attendo notizie..

grazie


--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
[EMAIL PROTECTED] con oggetto unsubscribe. Per

problemi inviare un email in INGLESE a [EMAIL PROTECTED]

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]