Pagina 1 di 1

iptables prerouting [RISOLTO]

Inviato: sab 3 apr 2010, 17:35
da kreen
Ciao a tutti.
Ho un problema con iptables, del quale ho pressoché conoscenza nulla.

Devo accedere ad un server http su una rete (Es. 192.168.1.0 ) da un'altra rete (Es. 192.168.10.0 su wlan0).
In mezzo ho piazzato una vecchia macchina con due schede di rete.
Una wireless sulla rete da cui accedo (su wlan0) e una fissa che guarda al server (eth0).

dopo

Codice: Seleziona tutto

rc.ip_forward start
Ho impostato queste regole sul firewall:

Codice: Seleziona tutto


iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -A FORWARD -j LOG --log-level 7 --log-prefix "Pack: "
iptables  -A PREROUTING -t nat -p TCP  -i wlan0 --dport 80 -j DNAT --to 192.168.1.10:80 
iptables -A FORWARD $text "VIDEO: TCP"  -p TCP -i wlan0 -o eth0 -d 192.168.1.10 \
        --dport 80  -j DROP 

Purtroppo pero' non mi connetto con il browser.
Sono stato lasco per evitare meno problemi possibili, per poi andare piano piano a chiudere i buchi.

Grazie

Re: iptables prerouting

Inviato: dom 4 apr 2010, 0:25
da sardylan
Oltre alle regole di forward, ci vuole anche la regola di ritorno...
La butto un po' li... Non so se sia giusta... Ho un po' dimenticato iptables...

Codice: Seleziona tutto

/sbin/iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j DNAT --to 192.168.1.10:80
/sbin/iptables -t nat -A PREROUTING -i eth0 -d 192.168.10.x -m state --state ESTABLISHED,RELATED -j DNAT --to 192.168.10.x
A questo punto ti stai facendo un NATTING per per poter accedere alla rete 192.168.1.0/24 dalla rete 192.168.10.0/24, quindi io opterei per una roba del genere:

Codice: Seleziona tutto

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --from 192.168.1.X (X è la macchina che sta in mezzo alle due reti)
/sbin/iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT
che alla fine dovrebbero essere le stesse regole che girano dentro i routers che ti permettono di navigare su internet, con l'unica differenza che non usi il MASQUERADE, ma il SNAT (masquerade è per IP dinamici, SNAT per ip statici)
In questo modo aggiungi una route nelle macchine della 192.168.10.0/24 dicendoli che per la rete 192.168.1.0/24 deve usare il gateway presente all'indirizzo 192.168.10.X (dove X è sempre la macchina che sta in mezzo, ma stavolta lato wlan0)

Spero di essere stato chiaro, e di non aver fatto errori :)

Re: iptables prerouting

Inviato: dom 4 apr 2010, 8:08
da kreen
Ciao Luca,
grazie veramente per la drittona. Infatti funziona. :thumbright:

L'opzione nel SNAT non è -from ma --to-source.

Buona Pasqua

Re: iptables prerouting [RISOLTO]

Inviato: dom 4 apr 2010, 20:20
da sardylan
Good :D :D