On 6/24/05, paolo <[EMAIL PROTECTED]> wrote: > Permittimi di fare il cocciuto... :)
Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato consentire il forward sull'interfaccia ppp0, ma sussiste un problema: solo dall'esterno posso usare l'IP pubblico, dall'interno invece, intendo da una macchina della LAN che usa questo firewall per connettersi non ho risposta. IPPRIVATO -> IPPRIVATO ok IPFUORI -> IPPUBBLICO ok IPPUBBLICO -> IPPUBBLICO NO! > Ultima cosa: > "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve? Ad abilitare la catena di INPUT che ha policy DROP Questo il mio iptables che funzia come descritto sopra. # RESETTO LE REGOLE ESISTENTI iptables -F iptables -F --table nat # REGOLE DI DEFAULF # Nego ingresso iptables -P INPUT DROP # Nego dialogo tra schede iptables -P FORWARD DROP # Accetto il traffico in uscita iptables -P OUTPUT ACCEPT # LOOPBACK! iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # MASQUERADING iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # FORWARD -> traffico LAN verso Internet e ritorno iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.10.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT # FORWARD tra ppp0 e eth1 (????) iptables -A FORWARD -i ppp0 -j ACCEPT # INPUT -> traffico di ritorno verso IP # permetto a quello che e` uscito di rientrare iptables -A INPUT -d $MYIP -m state --state ESTABLISHED,RELATED -j ACCEPT # TRAFFICO VERSO L'INTERNO # www iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 80 -d $MYIP -j DNAT --to $WEBSERVER:80 # ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 22 -d $MYIP -j DNAT --to $WEBSERVER:22 -- Openclose.it - Idee per il software libero http://www.openclose.it
