3 581
contributi
NAT con iptables: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
verificato, sintassi iptables non è cambiata; comunque in futuro sarà da scriverne un'altra per nftables probabilmente - iptables ancora disponibile, ma è raccomandata la migrazione a nftables
S3v (discussione | contributi) (Contrassegnata come compatibile solo con Squeeze (leggi discussione)) |
(verificato, sintassi iptables non è cambiata; comunque in futuro sarà da scriverne un'altra per nftables probabilmente - iptables ancora disponibile, ma è raccomandata la migrazione a nftables) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili | | {{Versioni compatibili | NO_REVISION | squeeze | wheezy | jessie | stretch | buster}} | ||
==Scenario== | ==Scenario== | ||
Abbiamo una macchina Debian che vogliamo usare come gateway per Internet, per poter fornire uno o più dei seguenti servizi: | Abbiamo una macchina Debian che vogliamo usare come gateway per Internet, per poter fornire uno o più dei seguenti servizi: | ||
| Riga 36: | Riga 36: | ||
==Configurazione== | ==Configurazione== | ||
In questo capitolo vedremo come effettuare una semplice configurazione manuale di iptables.<br> | In questo capitolo vedremo come effettuare una semplice configurazione manuale di iptables. Si assume si stia utilizzando unicamente il classico [[IPv4]] (riconoscibile in particolare dagli indirizzi a 32 bit nella forma 0-255.0-255.0-255.0-255), e '''non''' il nuovo [[IPv6]], per cui invece si disabilita semplicemente il ''forwarding'' (inoltro).<br> | ||
Generalmente iptables viene configurato da linea di comando e non prevede file di configurazione; il modo migliore per rendere definitive le modifiche alla configurazione e mantenerle anche dopo un riavvio del server è utilizzare uno script.<br> | Generalmente iptables viene configurato da linea di comando e non prevede file di configurazione; il modo migliore per rendere definitive le modifiche alla configurazione e mantenerle anche dopo un riavvio del server è utilizzare uno script.<br> | ||
Il seguente script configura iptables per un servizio di routing DNAT and SNAT (Destination/Source Network Address Translation) e in più imposta una regola per accettare le connessioni entranti sulla porta 22 (SSH), dirottandole verso la macchina locale di indirizzo IP 192.168.1.200: | Il seguente script configura iptables per un servizio di routing DNAT and SNAT (Destination/Source Network Address Translation) e in più imposta una regola per accettare le connessioni entranti sulla porta 22 (SSH), dirottandole verso la macchina locale di indirizzo IP 192.168.1.200: | ||
| Riga 62: | Riga 62: | ||
stop) | stop) | ||
echo 0 > /proc/sys/net/ipv4/conf/all/forwarding | echo 0 > /proc/sys/net/ipv4/conf/all/forwarding | ||
echo 0 > /proc/sys/net/ipv6/conf/all/forwarding | |||
iptables -t nat -F | iptables -t nat -F | ||
;; | ;; | ||
| Riga 111: | Riga 112: | ||
Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi: | Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi: | ||
<pre> | <pre> | ||
# | # service firewall start | ||
# | # service firewall stop | ||
</pre> | </pre> | ||
Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN. | Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN. | ||