NAT con iptables: differenze tra le versioni

verificato, sintassi iptables non è cambiata; comunque in futuro sarà da scriverne un'altra per nftables probabilmente - iptables ancora disponibile, ma è raccomandata la migrazione a nftables
(Contrassegnata come compatibile solo con Squeeze (leggi discussione))
(verificato, sintassi iptables non è cambiata; comunque in futuro sarà da scriverne un'altra per nftables probabilmente - iptables ancora disponibile, ma è raccomandata la migrazione a nftables)
Riga 1: Riga 1:
{{Versioni compatibili | Squeeze}}
{{Versioni compatibili | NO_REVISION | squeeze | wheezy | jessie | stretch | buster}}
==Scenario==
==Scenario==
Abbiamo una macchina Debian che vogliamo usare come gateway per Internet, per poter fornire uno o più dei seguenti servizi:
Abbiamo una macchina Debian che vogliamo usare come gateway per Internet, per poter fornire uno o più dei seguenti servizi:
Riga 36: Riga 36:


==Configurazione==
==Configurazione==
In questo capitolo vedremo come effettuare una semplice configurazione manuale di iptables.<br>
In questo capitolo vedremo come effettuare una semplice configurazione manuale di iptables. Si assume si stia utilizzando unicamente il classico [[IPv4]] (riconoscibile in particolare dagli indirizzi a 32 bit nella forma 0-255.0-255.0-255.0-255), e '''non''' il nuovo [[IPv6]], per cui invece si disabilita semplicemente il ''forwarding'' (inoltro).<br>
Generalmente iptables viene configurato da linea di comando e non prevede file di configurazione; il modo migliore per rendere definitive le modifiche alla configurazione e mantenerle anche dopo un riavvio del server è utilizzare uno script.<br>
Generalmente iptables viene configurato da linea di comando e non prevede file di configurazione; il modo migliore per rendere definitive le modifiche alla configurazione e mantenerle anche dopo un riavvio del server è utilizzare uno script.<br>
Il seguente script configura iptables per un servizio di routing DNAT and SNAT (Destination/Source Network Address Translation) e in più imposta una regola per accettare le connessioni entranti sulla porta 22 (SSH), dirottandole verso la macchina locale di indirizzo IP 192.168.1.200:
Il seguente script configura iptables per un servizio di routing DNAT and SNAT (Destination/Source Network Address Translation) e in più imposta una regola per accettare le connessioni entranti sulla porta 22 (SSH), dirottandole verso la macchina locale di indirizzo IP 192.168.1.200:
Riga 62: Riga 62:
   stop)
   stop)
         echo 0 > /proc/sys/net/ipv4/conf/all/forwarding
         echo 0 > /proc/sys/net/ipv4/conf/all/forwarding
        echo 0 > /proc/sys/net/ipv6/conf/all/forwarding
         iptables -t nat -F
         iptables -t nat -F
         ;;
         ;;
Riga 111: Riga 112:
Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi:
Il servizio di NAT del firewall può essere avviato o stoppato con i seguenti comandi:
<pre>
<pre>
# /etc/init.d/firewall start  
# service firewall start  
# /etc/init.d/firewall stop
# service firewall stop
</pre>
</pre>
Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN.
Teniamo presente che, stoppando il servizio di NAT, impediremo l'accesso a internet a ogni macchina della nostra rete LAN.
3 581

contributi