Re: domanda su iptables

Thu, 07 Aug 2003 17:21:20 -0500 

On Thu, 2003-08-07 at 23:01, MaX wrote:

> no... il fatto e che il 212.10.10.10 � il firewall...
> 
> il firewall ha una DMZ su 212.10.10.15 e 212.10.10.20
> 
> Fa anche NAT alla rete interna su 192.168.1.xxx
> 
> Essendo il firewall un cisco, e avendo il responsabile nei caraibi fino alla 
> fine si settembre,
> non possiamo accedere ad esso per cambiargli l'indirizzo IP sull'interfaccia 
> esterna.
> Perch� cambiare l'indirizzo?....  semplice, una nostra filiale lontana, ha 
> una macchina ftp per noi molto importante... purtroppo per errore hanno 
> impostato una regola nel loro firewall che limita la nostra ampiezza di 
> banda, e essendo tutti incompetenti da quelle parti, non sanno dove mettere 
> le mani... in ogni caso sar� a settembre, dopo le ferie.
> 
> quindi l'unica soluzione per noi � anteporre al firewall una macchina linux 
> che converta il 212.10.10.10 in 212.10.10.11 (gi� provato... quest'ultimo IP 
> non � filtrato)
> Un'altra soluzione sarebbe eliminare il cisco e mettere linux
> come FW riproducendo il cisco stesso.... ma i manager non mi lasciano 
> farlo.... anche per motivi di assicurazione immagino.
> 
> 
> quindi ricapitolando con un po'di ascii art:
> 
> il concetto sarebbe:
> il 212.10.10.10 diventa per il mondo 212.10.10.11
> mentre rimangono invariati il 212.10.10.15 e .20
> 
> 
>                         INTERNET
>                            ^
>                            v
>                            |
>                    +------------------+         
>                    | Linux + iptables |
>                    +------------------+
>                            |
>                 +-----------------------+
>                 | Cisco FW 212.10.10.10 |
>                 +-----------------------+
>                       |       |  (NAT su 192.168.1.xxx)
>                       |       |
>      DMZone           |       |
> +------------------+  |       |
> | ftp 212.10.10.15 |  |       |
> | web 212.10.10.20 |--+       |
> +------------------+          |
>                               |
>                     MZone     |
>                +--------------+
>                | Rete interna |
>                +--------------+    
> 

Pur non essendo molto esperto di Iptables direi che si puo' fare. 
Linux  dovrebbe avere indirizzo IP 212.10.10.11 e dovrebbe fare il
masquerading dell' indirizzo IP 212.10.10.10. Mentre per gli indirizzi
212.10.10.15 e 212.10.10.20 dovrebbe fare l' IP forwarding (come un
router). Ambedue le cose io le ho fatte per una rete locale. Credo che
sia necessario intervenire a mano sia sulle Iptables che sulla .
Non so se questo puo' servirti ....
ciao 
           Stefano

Rispondere a