On Sat, May 25, 2002 at 06:32:50PM +0200, Fabio Muzzi wrote:
> 1- definire una regola che dice
> iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
> iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP
> e` sufficiente per stare TRANQUILLI che da eth1 nessuno riuscira`
> ad aprire connessioni verso le mie macchine (sia il firewall che
> quelle interne)?
Spero di si`, perche` e` quella che uso anche io :-) e comunque se usi
*solo* questa e` ben difficile usare qualsiasi programma P2P...
> 2- se applico una regola DNAT (in prerouting) i pacchetti che la
> attraversano e vengono nattati, passano per quali catene? input,
> forward o entrambe? (ovviamente anche per output, ma non mi
> interessa)
Circa, ma per maggiori info, e visto che ci lavori e sicuramente avrai
problemi anche piu` incasinati da risolvere, ti conviene cercare
iptables-tutorial (su freshmeat), che e` un reference totale e
aggiornato con le ultime paturnie di iptables.
La risposta (che e` troppo lunga per essere copiata qui) e` a pagina 16
nella versione che ho qui.
> 3- contrariamente a quanto avevo letto, fare un SNAT di un gruppo di
> IP su un gruppo di IP, tipo:
> iptables -t nat -A POSTROUTING -o eth3 -j SNAT -s 10.0.0.8/29 --to
> 151.95.160.8/29
> non fa si` che il mapping del NAT sia sempre "statico", ovvero
> 10.0.0.9 su 151.95.160.9, il 10 sul 10, eccetera... ma lui comunque
> "sparpaglia" le connessioni come meglio crede... il che mi costringe
> a un ridicolo elenco di 64 regole ognuna delle quali con un singolo
> indirizzo... mi confermate che fa cosi`, o sono scemo io?
Effettivamente mi sembra che tutti gli esempi siano riferiti a load
balancing oppure a situazioni del tipo:
Moreover, you can map the same packets onto many different targets, and they
will be shared. For example, if you don't want to map anything over 1.2.3.5,
you could do:
# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 \
-j SNAT --to 1.2.3.0-1.2.3.4 --to 1.2.3.6-1.2.3.254
in cui evidentemente non c'e` una corrispondenza biunivoca come invece
mi sembra che tu voglia fare (e che tra parentesi mi sembra un caso
frequente e utile, se non puoi fare del semplice bridging)
--
Nando Santagata: Telemastica & infornatica
Key fingerprint = 1054 9311 458D 4BAA E97B F447 7CD4 54B5 0208 F815
finger nandos (at) mail (dot) ipers (dot) net for my GPG public key
NANDO: Networked Artificial Neohuman Designed for Observation
|