4 069
contributi
NAT con iptables: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
→Iptables in profondità
| Riga 105: | Riga 105: | ||
* <tt>-j SNAT</tt> indica di saltare alla regola SNAT | * <tt>-j SNAT</tt> indica di saltare alla regola SNAT | ||
* <tt>--to ${EXTERNIP}</tt> specifica che ogni pacchetto che lascia la rete deve avere indirizzo IP ${EXTERNIP} | * <tt>--to ${EXTERNIP}</tt> specifica che ogni pacchetto che lascia la rete deve avere indirizzo IP ${EXTERNIP} | ||
Tradotta in italiano, la regola suona più o meno così: prendi ogni pacchetto la cui destinazione è esterna alla LAN e sparalo su internet, dopo aver cambiato il suo indirizzo IP di provenienza con l'indirizzo IP del firewall Debian.<br><br> | |||
Il secondo comando iptables fa esattamente la cosa opposta: prende i pacchetti SSH che arrivano da internet, bloccando invece tutti gli altri, e li indirizza ad una macchina interna: | |||
<pre> | |||
iptables -t nat -A PREROUTING --dst ${EXTERNIP} -p tcp --dport 22 -j DNAT --to-destination ${SSHHOST} | |||
</pre> | |||
* <tt>-t nat</tt> specifica che il tipo di regola è network address translation (NAT), cioè IP masquerading | |||
* <tt>-A PREROUTING</tt> appende una regola alla catena PREROUTING: la regola sarà processata prima di tutte le altre regole esistenti | |||
* <tt>--dst ${EXTERNIP}</tt> specifica il destinatario originale del pacchetto (il firewall) | |||
* <tt>-p tcp</tt> indica che verrà utilizzato il protocollo TCP | |||
* <tt>--dport 22</tt> specifica la porta di destinazione del pacchetto | |||
* <tt>-j DNAT</tt> indica di saltare alla regola DNAT per effettuare la destination network address translation | |||
Tradotta in italiano, la regola suona più o meno così: prendi ogni pacchetto TCP che arriva alla porta 22 del firewall, cambiagli l'indirizzo di destinazione e giralo all'interno della rete LAN.<br> | |||
Se, oltre all'accesso SSH, desideriamo fornire altri servizi su altre porte, dovremo scrivere una regola simile per ogni servizio che debba essere raggiunto dall'esterno.<br><br> | |||
Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi: | |||
<pre> | |||
/etc/init.d/firewall start | |||
/etc/init.d/firewall stop | |||
</pre> | |||
Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN. | |||
<br> | |||
<br> | |||
--[[Utente:Ferdybassi|Ferdybassi]] 17:35, 4 gen 2010 (CET) | |||
---- | |||
[[Categoria:Server]] | |||
[[Categoria:Networking]] | |||
[[Categoria:Sicurezza]] | |||