Ciao dario la soluzione brigde sembra funzionare come sperato/voluto.. sembra anche piu' chiara a livello concettuale per me. Ora accedo anche al server http (problema precedente..) e non devo modificare nulla nella tabella di routing.
Rimane sempre la non possibilità dalla rete eth1 (dove le porte effettivamente aperte danno il servizio richiesto..) di pingare il gateway .254 quasi che il ping non lo faccia fowardare.. e quindi sono costretto sia a livello dns che di gateway a impostare il firewall.. forse devo aggiungere una regola a iptables? vedo la luce :) script per il bridge..................................................... #!/bin/bash #tiro giu' le intefacce ifconfig eth0 down ifconfig eth1 down ifconfig eth0 0.0.0.0 ifconfig eth1 0.0.0.0 #creo il bridge ta le due interessate brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 #ip statico #ifconfig br0 <ip firewall> netmask 255.255.255.0 up #etc. con settaggi anche per il resolv.conf # ip dinamico da dhcp server dhclient br0 script iptables............................................................ #!/bin/bash # delete all existing rules. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # DEFAULT policies iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i br0 -m state --state ESTABLISHED,RELATED -j ACCEPT #eth0 iptables -A INPUT -i br0 -p tcp --dport 22 -j ACCEPT # eth1 open ports iptables -A INPUT -i br0 -p tcp -m multiport --dports 22,80,443,8080,25,110,115,995 -j ACCEPT iptables -A INPUT -i br0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i br0 -p tcp -m multiport --dports 22,80,443,8080,25,110,115,995 -j ACCEPT iptables -A FORWARD -i br0 -p udp --dport 53 -j ACCEPT # eth2 open ports iptables -A INPUT -i eth2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT # enable ping iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE # to allow ip forwarding echo 1 > /proc/sys/net/ipv4/ip_forward -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org