Shorewall a tre interfacce
Inviato: lun 21 mag 2007, 18:07
Salve a tutti,
C'ho smanettato un po', ma poi ho detto: meglio chiedere aiuto... porei starci un'eternità, eppure devo fare una cosa semplice semplice.
Il mio Slackware 10.2 era gia configurato con 2 interfacce e shorewall si occupava di dirigere il traffico. In pratica con delle semplici regole DNAT reindirizzo i pacchetti dalla zona "net" alla zona "loc" in arrivo sulla porta 80 (http), vi posto il file /etc/shorewall/rules:
A questo punto ho deciso di aggiungere una nuova scheda di rete per collegare un server web di un sistema di Telecamere che accetta connessioni sulla porta 91, posizionato su un'altra rete (192.168.3.255).
Quindi ho aggiunto una nuova zona che ho configurato in /etc/shorewall/zones:
Successivamente ho aggiunto una nuova interfaccia (eth2) che ho configurato in /etc/shorewall/interfaces:
Bene, mi sono detto, ora non devo fare altro che impostare le regole per consentire alla rete locale, ovvero a quelli della rete 192.168.1.255 di poter vedere il web server, con indirizzo 192.168.3.231, sulla porta 91, quindi ho aggiunto al file di prima /etc/shorewall/rules, le seguenti variazioni:
Il risultato è che dalla linux box riesco a vedere il web server:
http://192.168.3.231:91 (funziona)
se vado su un client della rete 192.168.1.255 e digito:
http://192.168.1.1:91 (non succede nulla: errore pagina web)
Ovviamente ho anche provato con http://192.168.3.231:91 (ma lo stesso non funziona)
Non sto ad elencare le altre prove che ho fatto, le quali non hanno dato esito positvo, vorrei capire se c'entra qualcosa il masquerading oppure no. E in ogno caso come faccio per rendere accessibile il web server 192.168.3.231 ai client nella rete 192.168.1.255?
Grazie per la risposta
C'ho smanettato un po', ma poi ho detto: meglio chiedere aiuto... porei starci un'eternità, eppure devo fare una cosa semplice semplice.
Il mio Slackware 10.2 era gia configurato con 2 interfacce e shorewall si occupava di dirigere il traffico. In pratica con delle semplici regole DNAT reindirizzo i pacchetti dalla zona "net" alla zona "loc" in arrivo sulla porta 80 (http), vi posto il file /etc/shorewall/rules:
Codice: Seleziona tutto
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
ACCEPT net fw tcp 80,22,10000 -
ACCEPT masq fw tcp 22,10000 -
ACCEPT fw masq tcp 80 -
DNAT net loc:192.168.1.2 tcp 80 -
Quindi ho aggiunto una nuova zona che ho configurato in /etc/shorewall/zones:
Codice: Seleziona tutto
#ZONE DISPLAY COMMENTS
net Net Internet zone
masq Masquerade Masquerade Local
loc Local Local
cam CAM Server Camera
Successivamente ho aggiunto una nuova interfaccia (eth2) che ho configurato in /etc/shorewall/interfaces:
Codice: Seleziona tutto
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect
masq eth1 192.168.1.255
cam eth2 192.168.3.255
Codice: Seleziona tutto
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
ACCEPT net fw tcp 80,22,10000 -
ACCEPT masq fw tcp 22,91,10000 -
ACCEPT fw masq tcp 80 -
DNAT net loc:192.168.1.2 tcp 80 -
DNAT loc cam:192.168.3.231 tcp 91 -
http://192.168.3.231:91 (funziona)
se vado su un client della rete 192.168.1.255 e digito:
http://192.168.1.1:91 (non succede nulla: errore pagina web)
Ovviamente ho anche provato con http://192.168.3.231:91 (ma lo stesso non funziona)
Non sto ad elencare le altre prove che ho fatto, le quali non hanno dato esito positvo, vorrei capire se c'entra qualcosa il masquerading oppure no. E in ogno caso come faccio per rendere accessibile il web server 192.168.3.231 ai client nella rete 192.168.1.255?
Grazie per la risposta