Re: dnat su multiple wan (era: iptables e server FTP in DMZ)

Thu, 18 Oct 2007 08:50:53 -0700 

ciao,
innanzitutto grazie per la risposta.

Andrea Barbaglia wrote:
> 
> Mah io ho avuto un problema simile su una macchina con due range
> diversi di ip pubblici e ho risolto utilizzando ip route...
> In pratica è come se la macchina in dmz avesse due default
> gateway, ma intelligentemente ip route sa cosa fare.
> (e questo è il mio caso)
> Magari con opportune modifiche si potrebbe applicare al tuo caso.
> Se la tua macchina in dmz fa *solo* ftp potresti provare...
> Il problema è che io non faccio nat!
> 
> Cmq ecco lo script che io uso, tu dovresti applicarlo al firewall
> 
> #!/bin/sh
> 
> 
> TABLE_NEWIP=NEWIP
> NET_NEWIP=1.2.3.0/28 ### la rete sulla quale risiede l'ftp
> IF_NEWIP=eth1 ### l'interfaccia sulla quale vuoi instradare i pacchetti
>           ###di risposta della macchina ftp
> IP_NEWIP=1.2.3.5 ### l'indirizzo ip della macchina ftp
> ROUTER_NEWIP=1.2.3.1 ### il default gateway per tale rete
> 
> echo Adding $TABLE_NEWIP
> ip route add $NET_NEWIP dev $IF_NEWIP src $IP_NEWIP table $TABLE_NEWIP
> ip route add default via $ROUTER_NEWIP dev $IF_NEWIP table $TABLE_NEWIP
> 
> ip rule del from $NET_NEWIP table $TABLE_NEWIP >/dev/null 2>&1
> 
> ip rule add from $NET_NEWIP table $TABLE_NEWIP
> 
> 
> ip route flush cache
> 
> In poche parole gli stai dicendo tutto quello che ha come sorgente
> 1.2.3.5 con rete 1.2.3.0, lo fai usire sulla eth1 verso il gateway
> 1.2.3.1
> 
> Spero si capisca... sono un po' di fretta!!!
> 

si, si capisce ma il problema è che in questo modo è come se marcassi i
pacchetti. cioè: se i pacchetti dovessero entrare dall'interfaccia wan
di default, in questo modo li reinstraderei sempre sul gateway
$ROUTER_NEWIP.

Fabio

> Ciao. Andrea.
> 



-- 

Dott. Fabio Marcone

2T srl
Telefono                                +39 - 0871- 540154
Fax                                     +39 - 0871- 571594
Email                                   fabio.marcone(AT)duet.it        
Indirizzo                               Viale B. Croce 573
                                        66013 Chieti Scalo (CH)
GNU/Linux registered user               #400424


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Rispondere a