Pagina 1 di 1

Shorewall a tre interfacce

Inviato: lun 21 mag 2007, 18:07
da starniell
Salve a tutti,

C'ho smanettato un po', ma poi ho detto: meglio chiedere aiuto... porei starci un'eternità, eppure devo fare una cosa semplice semplice.

Il mio Slackware 10.2 era gia configurato con 2 interfacce e shorewall si occupava di dirigere il traffico. In pratica con delle semplici regole DNAT reindirizzo i pacchetti dalla zona "net" alla zona "loc" in arrivo sulla porta 80 (http), vi posto il file /etc/shorewall/rules:

Codice: Seleziona tutto

#ACTION  SOURCE		DEST      	PROTO	DEST    SOURCE	   ORIGINAL
ACCEPT	net	 fw	tcp	80,22,10000	-
ACCEPT	masq	fw	tcp	22,10000	-
ACCEPT	fw	  masq tcp	80	-
DNAT     net    loc:192.168.1.2 tcp 80 -
A questo punto ho deciso di aggiungere una nuova scheda di rete per collegare un server web di un sistema di Telecamere che accetta connessioni sulla porta 91, posizionato su un'altra rete (192.168.3.255).

Quindi ho aggiunto una nuova zona che ho configurato in /etc/shorewall/zones:

Codice: Seleziona tutto

#ZONE	DISPLAY		COMMENTS
net	Net	Internet zone
masq  Masquerade	Masquerade Local
loc	Local	Local
cam	CAM	Server Camera

Successivamente ho aggiunto una nuova interfaccia (eth2) che ho configurato in /etc/shorewall/interfaces:

Codice: Seleziona tutto

#ZONE	 INTERFACE	BROADCAST	OPTIONS
net	eth0	detect
masq  eth1	192.168.1.255
cam	eth2	192.168.3.255
Bene, mi sono detto, ora non devo fare altro che impostare le regole per consentire alla rete locale, ovvero a quelli della rete 192.168.1.255 di poter vedere il web server, con indirizzo 192.168.3.231, sulla porta 91, quindi ho aggiunto al file di prima /etc/shorewall/rules, le seguenti variazioni:

Codice: Seleziona tutto

#ACTION  SOURCE		DEST      	PROTO	DEST    SOURCE	   ORIGINAL
ACCEPT	net	 fw	tcp	80,22,10000	-
ACCEPT	masq	fw	tcp	22,91,10000	-
ACCEPT	fw	  masq tcp	80	-
DNAT     net    loc:192.168.1.2 tcp 80 -
DNAT     loc    cam:192.168.3.231 tcp 91 -
Il risultato è che dalla linux box riesco a vedere il web server:

http://192.168.3.231:91 (funziona)

se vado su un client della rete 192.168.1.255 e digito:

http://192.168.1.1:91 (non succede nulla: errore pagina web)

Ovviamente ho anche provato con http://192.168.3.231:91 (ma lo stesso non funziona)

Non sto ad elencare le altre prove che ho fatto, le quali non hanno dato esito positvo, vorrei capire se c'entra qualcosa il masquerading oppure no. E in ogno caso come faccio per rendere accessibile il web server 192.168.3.231 ai client nella rete 192.168.1.255?

Grazie per la risposta