NAT con iptables: differenze tra le versioni

Riga 105: Riga 105:
* <tt>-j SNAT</tt> indica di saltare alla regola SNAT
* <tt>-j SNAT</tt> indica di saltare alla regola SNAT
* <tt>--to ${EXTERNIP}</tt> specifica che ogni pacchetto che lascia la rete deve avere indirizzo IP ${EXTERNIP}  
* <tt>--to ${EXTERNIP}</tt> specifica che ogni pacchetto che lascia la rete deve avere indirizzo IP ${EXTERNIP}  
Tradotto in italiano, la regola suona più o meno così: prendi ogni pacchetto la cui destinazione è esterna alla LAN e sparalo su internet, dopo aver cambiato il suo indirizzo IP di provenienza con l'indirizzo IP del firewall Debian.<br>
Tradotta in italiano, la regola suona più o meno così: prendi ogni pacchetto la cui destinazione è esterna alla LAN e sparalo su internet, dopo aver cambiato il suo indirizzo IP di provenienza con l'indirizzo IP del firewall Debian.<br><br>
Il secondo comando iptables fa esattamente la cosa opposta: prende i pacchetti SSH che arrivano da internet, bloccando invece tutti gli altri, e li indirizza ad una macchina interna:
<pre>
iptables -t nat -A PREROUTING --dst ${EXTERNIP} -p tcp --dport 22 -j DNAT --to-destination ${SSHHOST}
</pre>
* <tt>-t nat</tt> specifica che il tipo di regola è network address translation (NAT), cioè IP masquerading
* <tt>-A PREROUTING</tt> appende una regola alla catena PREROUTING: la regola sarà processata prima di tutte le altre regole esistenti
* <tt>--dst ${EXTERNIP}</tt> specifica il destinatario originale del pacchetto (il firewall)
* <tt>-p tcp</tt> indica che verrà utilizzato il protocollo TCP
* <tt>--dport 22</tt> specifica la porta di destinazione del pacchetto
* <tt>-j DNAT</tt> indica di saltare alla regola DNAT per effettuare la destination network address translation
Tradotta in italiano, la regola suona più o meno così: prendi ogni pacchetto TCP che arriva alla porta 22 del firewall, cambiagli l'indirizzo di destinazione e giralo all'interno della rete LAN.<br>
Se, oltre all'accesso SSH, desideriamo fornire altri servizi su altre porte, dovremo scrivere una regola simile per ogni servizio che debba essere raggiunto dall'esterno.<br><br>
Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi:
<pre>
/etc/init.d/firewall start
/etc/init.d/firewall stop
</pre>
Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN.
<br>
<br>
--[[Utente:Ferdybassi|Ferdybassi]] 17:35, 4 gen 2010 (CET)
----
[[Categoria:Server]]
[[Categoria:Networking]]
[[Categoria:Sicurezza]]