Re: Port forwarding

[Giuliano Curti]

Il gio 7 ott 2021, 14:59 Thomas Iezzi  ha scritto:

> mi intrometto solo per segnalare che Fastweb rilascia ip pubblici
> gratuitamente: mi hanno dato un ip pubblico gratis, e in tempi rapidi.
>

Aggiungo solo la mia esperienza personale;

SIM con un provider di recente introduzione sul mercato (almeno per quel
che so io): indirizzo nattato senza alternativa;

Ho saputo di un provider leader nazionale che rilasciava contratti annuali
con sim appositi per sistemi remoto; avuta conferma presso un centro di
vendita ho acquistato, ritrovandomi poi un indirizzo nattato;
numerose interlocuzioni telefoniche, ma, nonostante le assicurazioni
ricevute, indirizzo sempre nattato;
intervento con punto di vendita e problema risolto, contratto non business;
Probabilmente non hanno una politica chiara e consolidata.


> Thomas
>

Grazie, ciao,
Giuliano

Re: Port forwarding

[Thomas Iezzi]

mi intrometto solo per segnalare che Fastweb rilascia ip pubblici
gratuitamente: mi hanno dato un ip pubblico gratis, e in tempi rapidi.

Thomas

Il giorno gio 7 ott 2021 alle ore 14:35 Diego Zuccato <
diego.zucc...@unibo.it> ha scritto:

> Il 07/10/2021 12:49, Marco Ciampa ha scritto:
>
> >> È una provocazione? Sto scherzando, ma non conosco ipv4 e quello che
> >> proponi è al di là dell'oceano 
> > capisco ... veramente il NAT è nato per superare i limiti di ipv4, limiti
> > che ipv6 non ha. Quindi solitamente le macchine che devono essere nat-ate
> > in ipv4 potrebbero (in linea teorica) essere raggiungibili in ipv6,
> > sempre se il provider supporta ipv6, se la tua macchina supporta ipv6
> ecc...
> Devo ancora trovare un provider che supporti IPv6 :(
> E deve essere anche supportato dal client e dal suo provider, per
> evitare tripli salti mortali ci proxy...
>
> > ma le mie conoscenze di ipv6 finiscono lì...
> Non che le mie vadano molto più in là...
>
> > si solitamente chiedendo il provider fornisce l'ip pubblico, alle volte
> > pagando, per lo meno per un ip pubblico statico.
> Tanto per non fare nomi: da quel che so TIM fornisce IP pubblico solo
> sui contratti business, e Vodafone con FWA lo fornisce solo a parole
> (dicono che me l'hanno attivato ma la mia rete è rimasta raggiungibile
> si e no mezza giornata, e comunque non danno un IP statico).
> Tiscali e Fastweb invece forniscono IP pubblico statico a richiesta e a
> pagamento.
>
> --
> Diego Zuccato
> DIFA - Dip. di Fisica e Astronomia
> Servizi Informatici
> Alma Mater Studiorum - Università di Bologna
> V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
> tel.: +39 051 20 95786
>
>

Re: Port forwarding

[Diego Zuccato]

Il 07/10/2021 12:49, Marco Ciampa ha scritto:


È una provocazione? Sto scherzando, ma non conosco ipv4 e quello che
proponi è al di là dell'oceano 

capisco ... veramente il NAT è nato per superare i limiti di ipv4, limiti
che ipv6 non ha. Quindi solitamente le macchine che devono essere nat-ate
in ipv4 potrebbero (in linea teorica) essere raggiungibili in ipv6,
sempre se il provider supporta ipv6, se la tua macchina supporta ipv6 ecc...

Devo ancora trovare un provider che supporti IPv6 :(
E deve essere anche supportato dal client e dal suo provider, per 
evitare tripli salti mortali ci proxy...



ma le mie conoscenze di ipv6 finiscono lì...

Non che le mie vadano molto più in là...


si solitamente chiedendo il provider fornisce l'ip pubblico, alle volte
pagando, per lo meno per un ip pubblico statico.
Tanto per non fare nomi: da quel che so TIM fornisce IP pubblico solo 
sui contratti business, e Vodafone con FWA lo fornisce solo a parole 
(dicono che me l'hanno attivato ma la mia rete è rimasta raggiungibile 
si e no mezza giornata, e comunque non danno un IP statico).
Tiscali e Fastweb invece forniscono IP pubblico statico a richiesta e a 
pagamento.


--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786

Re: Port forwarding

[Marco Ciampa]

On Thu, Oct 07, 2021 at 10:18:38AM +0200, Giuliano Curti wrote:
> Il gio 7 ott 2021, 07:54 Marco Ciampa  ha scritto:
> 
> Ciao Marco, grazie;
> 
> On Fri, Sep 17, 2021 at 10:53:41AM +0200, Paolo Redaelli wrote:
> > > 10.x.x.x è privato. La tua telecamera è dietro ad un doppio NAT.
> > > Potresti ancora cavartela con sidedoor, ma rimarrebbe comunque un
> > accrocchio
> >
> > La butto lì, non sono un esperto: forse riusciresti usando ipv6 ...
> >
> 
> È una provocazione? Sto scherzando, ma non conosco ipv4 e quello che
> proponi è al di là dell'oceano 

capisco ... veramente il NAT è nato per superare i limiti di ipv4, limiti
che ipv6 non ha. Quindi solitamente le macchine che devono essere nat-ate
in ipv4 potrebbero (in linea teorica) essere raggiungibili in ipv6,
sempre se il provider supporta ipv6, se la tua macchina supporta ipv6 ecc...

ma le mie conoscenze di ipv6 finiscono lì...

> Cmq il problema è superato; il provider, dopo diverse insistenze (tese solo
> a fargli rispettare gli impegni) mi ha fornito un ip pubblico e quindi ora
> riesco a raggiungere dall'esterno la mia macchina;

si solitamente chiedendo il provider fornisce l'ip pubblico, alle volte
pagando, per lo meno per un ip pubblico statico.

-- 

Saluton,
Marco Ciampa

Re: Port forwarding

[Giuliano Curti]

Il gio 7 ott 2021, 07:54 Marco Ciampa  ha scritto:

Ciao Marco, grazie;

On Fri, Sep 17, 2021 at 10:53:41AM +0200, Paolo Redaelli wrote:
> > 10.x.x.x è privato. La tua telecamera è dietro ad un doppio NAT.
> > Potresti ancora cavartela con sidedoor, ma rimarrebbe comunque un
> accrocchio
>
> La butto lì, non sono un esperto: forse riusciresti usando ipv6 ...
>

È una provocazione? Sto scherzando, ma non conosco ipv4 e quello che
proponi è al di là dell'oceano 

Cmq il problema è superato; il provider, dopo diverse insistenze (tese solo
a fargli rispettare gli impegni) mi ha fornito un ip pubblico e quindi ora
riesco a raggiungere dall'esterno la mia macchina;

Grazie ancora, ciao,
Giuliano

PS: nei miei rimaneggiamenti è saltata la tua firma, scusa.


>
>
>

Re: Port forwarding

[Marco Ciampa]

On Fri, Sep 17, 2021 at 10:53:41AM +0200, Paolo Redaelli wrote:
> 10.x.x.x è privato. La tua telecamera è dietro ad un doppio NAT.
> Potresti ancora cavartela con sidedoor, ma rimarrebbe comunque un accrocchio

La butto lì, non sono un esperto: forse riusciresti usando ipv6 ...

--

Saluton,
Marco Ciampa

Re: Port forwarding

[Paolo Redaelli]

10.x.x.x è privato. La tua telecamera è dietro ad un doppio NAT.
Potresti ancora cavartela con sidedoor, ma rimarrebbe comunque un accrocchio

Il 17 settembre 2021 09:02:11 CEST, Giuliano Curti  ha 
scritto:
>Il ven 17 set 2021, 08:17 Giuliano Curti  ha scritto:
>
>> Il ven 17 set 2021, 08:03 Simone Rossetto  ha scritto:
>>
>>> Ciao Giuliano
>>>
>>
>> 
>>
>
>..oopss... aggiungo: è questo allora il motivo per cui nella schermata
>router, alla voce internet, mi trovo un indirizzo 10:x:x:x che dovrebbe
>essere privato e non pubblico?
>
>>

-- 
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

Re: Port forwarding

[Giuliano Curti]

Il ven 17 set 2021, 08:38 Paolo Redælli  ha
scritto:

Ciao Paolo

> Il 17/09/21 08:17, Giuliano Curti ha scritto:
>
> Il ven 17 set 2021, 08:03 Simone Rossetto  ha scritto:
>
>> ...
>>> 9) sul sito www.portchecktool.com (consigliato dal manuale del router)
>>> la porta però viene data come chiusa
>>>
>>
>> Potresti essere dietro una NAT del tuo provider, quindi è il suo router
>> che ha tutte le porte chiuse. In questo caso non hai modo di raggiungere la
>> tua LAN dall'esterno.
>>
>
> ...
>
> Sarai mica con FastWeb?
>

No, iliad

Rimane il fatto che alcune app per Android (ICsee) riescono a vedere le
> telecamere collegate alla rete di quel provider, è sperabile quindi che ci
> sia una soluzione (prima di quella estrema: cambiare il provider :-)) ).
>
> Potrebbe non essere significativo perché spesso quelle applicazioni si
> appoggiano ad un server esterno che fa da tramite/proxy specifico per
> quelle applicazioni
>

Sto vedendo una soluzione possibile, ma temo troppo difficile per le mie
ridotte capacità sulle reti; mi sa che condividerò altri dubbi :-(

>
Grazie, ciao,
Giuliano

Re: Port forwarding

[Giuliano Curti]

Il ven 17 set 2021, 08:17 Giuliano Curti  ha scritto:

> Il ven 17 set 2021, 08:03 Simone Rossetto  ha scritto:
>
>> Ciao Giuliano
>>
>
> 
>

..oopss... aggiungo: è questo allora il motivo per cui nella schermata
router, alla voce internet, mi trovo un indirizzo 10:x:x:x che dovrebbe
essere privato e non pubblico?

>

Re: Port forwarding

[Paolo Redælli]

Il 17/09/21 08:17, Giuliano Curti ha scritto:
Il ven 17 set 2021, 08:03 Simone Rossetto > ha scritto:


Ciao Giuliano


Ciso Simone

Il gio 16 set 2021, 23:20 Giuliano Curti mailto:giulian...@gmail.com>> ha scritto:


9) sul sito www.portchecktool.com
 (consigliato dal manuale del
router) la porta però viene data come chiusa


Potresti essere dietro una NAT del tuo provider, quindi è il suo
router che ha tutte le porte chiuse. In questo caso non hai modo
di raggiungere la tua LAN dall'esterno.


Ho immaginato, ma non ancora indagato, quell'aspetto; sto vedendo 
alcuni post che affrontano il problema.

Sarai mica con FastWeb?
Rimane il fatto che alcune app per Android (ICsee) riescono a vedere 
le telecamere collegate alla rete di quel provider, è sperabile quindi 
che ci sia una soluzione (prima di quella estrema: cambiare il 
provider :-)) ).
Potrebbe non essere significativo perché spesso quelle applicazioni si 
appoggiano ad un server esterno che fa da tramite/proxy specifico per 
quelle applicazioni

Re: Port forwarding

[Giuliano Curti]

Il ven 17 set 2021, 08:03 Simone Rossetto  ha scritto:

> Ciao Giuliano
>

Ciso Simone

Il gio 16 set 2021, 23:20 Giuliano Curti  ha scritto:
>
>>
>> 9) sul sito www.portchecktool.com (consigliato dal manuale del router)
>> la porta però viene data come chiusa
>>
>
> Potresti essere dietro una NAT del tuo provider, quindi è il suo router
> che ha tutte le porte chiuse. In questo caso non hai modo di raggiungere la
> tua LAN dall'esterno.
>

Ho immaginato, ma non ancora indagato, quell'aspetto; sto vedendo alcuni
post che affrontano il problema.
Rimane il fatto che alcune app per Android (ICsee) riescono a vedere le
telecamere collegate alla rete di quel provider, è sperabile quindi che ci
sia una soluzione (prima di quella estrema: cambiare il provider :-)) ).


Ciao
> Simone
>

Grazie Simone, già l'aver individuato il problema mi è di grande aiuto;
farò sapere eventuali novità; ciao,
Giuliano

Re: Port forwarding

[Simone Rossetto]

Ciao Giuliano

Il gio 16 set 2021, 23:20 Giuliano Curti  ha scritto:

>
> 9) sul sito www.portchecktool.com (consigliato dal manuale del router) la
> porta però viene data come chiusa
>

Potresti essere dietro una NAT del tuo provider, quindi è il suo router che
ha tutte le porte chiuse. In questo caso non hai modo di raggiungere la tua
LAN dall'esterno.


Ciao
Simone

Port forwarding

[Giuliano Curti]

Ciao a tutti,

ho bisogno ancora di un aiuto, grazie (1)(2)(3);

Non riesco a risolvere il problema di port forwarding per abilitare
connessioni SSH (e altro) da remoto al mio rPi4:

1) sulla macchina è attivo il server SSH (sudo systemctl status SSH ->
listen sulla porta 22)

2) riesco a connettermi da diversi host sulla stessa LAN

3) ho registrato un dominio su no-ip.com

4) ho attivato nel modem-router la relativa sezione del Dynamic DNS (la
connessione viene indicata come avvenuta)

5) l'indirizzo accoppiato su no-ip.com è allineato con quello fornito da
ifconfig.me, ilmioip.com, ecc. quindi il dDNS sembra funzionare

6) infatti quando pingo da un host fuori dalla LAN vedo la risoluzione del
nome, ma...

7) il ping non produce risposta (/proc/sys/net/ipv4/icmp_echo_ignore_all =
0)

8) ho eseguito sul router il Port (NAT) Forwarding della porta 22 alla
porta 22 del rPi4

9) sul sito www.portchecktool.com (consigliato dal manuale del router) la
porta però viene data come chiusa

10) la chiamata ssh fallisce con un "timed out"

11) temendo un problema al firewall del rPi4 ho verificato non essere
settato: tutte le policy sono ACCEPT

12) lanciando traceroute ottengo 120 hops senza raggiungere l'rPi4; solo i
primi 11 host si qualificano, tutti gli altri no, quindi mi diventa ancor
più difficile individuare il collo di bottiglia

a questo punto non capisco dove sto sbagliando, qualche hint sui punti da
indagare?

grazie, saluti,
giuliano

(1) il post è legato alla discussione sulla videosorveglianza tramite
raspberry (Vlan, Debian, VPN, zoneminder), ma avendo una sua autonomia ho
preferito separarlo da quella;
(2) a chi interessa posso dare qualche impressione / info su zoneminder,
motioneye e motion;
(3) ho disponibili informazioni sulle stringhe di connessione di 4
telecamere diverse (Elvox, Hangzou Kuofeng, Reolink, Leovin);

port forwarding di porta http tramite ssh

[Paride Desimone]

Ciao,
Ho sostituito su un router alice (aga) il formware aprendolo ad un bel 
po' di possibilità. Ho configurato il dns dinamico, ma provando ad 
accedervi da remoto, mi sono accorto che non ha l'https, ma ha l'ssh. 
Ora, ricordo vagamente che con ssh si poteva fare una specie di port 
forwarding, ma non mi riesce di trovare la soluzione. Qualcuno ha 
qualche dritta?


Paride
--
http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per 
comprarsi briciole di temporanea sicurezza non merita ne' la liberta' 
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, 
Assemblea della Pennsylvania, 11 novembre 1755)



--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per

problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/bca3f9e4db16bb9c7b742e8c3177d...@autistici.org

Re: port forwarding di porta http tramite ssh

[Nicola Ferrari (#554252)]

Quello che si puo' fare e' inglobare il traffico in un tunnel SSH

Questo per esempio e' il meccanismo, utilizzato per fare un tunnel della 
porta RDP (desktop remoto W$).

Lo stesso concetto lo puoi usare sulla 443.

http://klinkner.net/~srk/techTips/ssh-remote/

Ciao,
N

--
+-+
| Linux User  #554252 |
+-+


--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per

problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/lc3mpk$nmh$1...@ger.gmane.org

Re: port forwarding

[Mario Vittorio Guenzi]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Il 15/07/2013 21:58, Pol Hallen ha scritto:
 'sera a tutti :-)
 
 ho ppp0 (ip dinamico) con pppoeconf, agganciato a eth1 e la lan
 interna eth0
 
 sto cercando di fare un portforwarding:
 
io faccio una cosa del genere
EXTIF=ppp0
INTIF=eth1
EXTIP=EXTIP=`ifconfig $EXTIF | grep inet| cut -f2 -d:| cut -f1 -d `
IPT=IPT=`whereis -b iptables | cut -d \ \ -f 2`
$IPT -A FORWARD -i $EXTIF -p tcp --dport 20022 -j ACCEPT
$IPT -t nat -A PREROUTING -s 0/0  -i $EXTIF -p tcp -d $EXTIP --dport
20022 -j DNAT --to-destination 192.168.2.251:20022
e funziona

- -- 

Mario Vittorio Guenzi
E-mail jcl...@tiscali.it
Si vis pacem, para bellum
++
| Linux User #286828 |
++
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/

iEYEARECAAYFAlHk6GYACgkQm6qs1ZkNrIrHHACfWEb4uFTSFFHWtzeka+Ic3Azv
ElUAn3b8bzP8N82tziHYuHTrU5qPy0ny
=s/qz
-END PGP SIGNATURE-


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e4e866.2060...@tiscali.it

port forwarding

[Pol Hallen]

'sera a tutti :-)

ho ppp0 (ip dinamico) con pppoeconf, agganciato a eth1 e la lan interna eth0

sto cercando di fare un portforwarding:

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 20022 -j DNAT
--to-destination 192.168.1.254:
iptables -A FORWARD -p tcp -i eth1 -d 192.168.1.100 --dport 20022 -j ACCEPT

ma va in timeout... qualche idea?

cat /proc/sys/net/ipv4/conf/ppp0/forwarding
1
cat /proc/sys/net/ipv4/conf/eth0/forwarding
1
cat /proc/sys/net/ipv4/conf/eth1/forwarding
1

grazie

Pol


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e45462.2050...@fuckaround.org

Re: port forwarding

[emmanuel segura]

iptables -A FORWARD -p tcp -i ppp0 -d 192.168.1.100 --dport  -j ACCEPT


Il giorno 15 luglio 2013 21:58, Pol Hallen debitv...@fuckaround.org ha
scritto:

 'sera a tutti :-)

 ho ppp0 (ip dinamico) con pppoeconf, agganciato a eth1 e la lan interna
 eth0

 sto cercando di fare un portforwarding:

 iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 20022 -j DNAT
 --to-destination 192.168.1.254:
 iptables -A FORWARD -p tcp -i eth1 -d 192.168.1.100 --dport 20022 -j ACCEPT

 ma va in timeout... qualche idea?

 cat /proc/sys/net/ipv4/conf/ppp0/forwarding
 1
 cat /proc/sys/net/ipv4/conf/eth0/forwarding
 1
 cat /proc/sys/net/ipv4/conf/eth1/forwarding
 1

 grazie

 Pol


 --
 Per REVOCARE l'iscrizione alla lista, inviare un email a
 debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
 problemi inviare un email in INGLESE a listmas...@lists.debian.org

 To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/51e45462.2050...@fuckaround.org




-- 
esta es mi vida e me la vivo hasta que dios quiera

Re: port forwarding

[Pol Hallen]

 iptables -A FORWARD -p tcp -i ppp0 -d 192.168.1.100 --dport  -j ACCEPT

non va comunque... ho già fatto un sacco di prove prima di scrivere in
lista :-/

grazie

Pol


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e46529.8020...@fuckaround.org

Re: port forwarding

[emmanuel segura]

Ciao Pol

Fai vedere

iptables -vnL
iptables -t nat -vnL

Grazie


Il giorno 15 luglio 2013 23:10, Pol Hallen debitv...@fuckaround.org ha
scritto:

  iptables -A FORWARD -p tcp -i ppp0 -d 192.168.1.100 --dport  -j
 ACCEPT

 non va comunque... ho già fatto un sacco di prove prima di scrivere in
 lista :-/

 grazie

 Pol


 --
 Per REVOCARE l'iscrizione alla lista, inviare un email a
 debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
 problemi inviare un email in INGLESE a listmas...@lists.debian.org

 To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/51e46529.8020...@fuckaround.org




-- 
esta es mi vida e me la vivo hasta que dios quiera

Re: port forwarding

[Pol Hallen]

Chain INPUT (policy DROP 3 packets, 789 bytes)
 pkts bytes target prot opt in out source
destination
0 0 ACCEPT all  --  lo *   0.0.0.0/0
0.0.0.0/0
0 0 DROP   all  -f  *  *   0.0.0.0/0
0.0.0.0/0
0 0 DROP   all  --  *  *   0.0.0.0/0
0.0.0.0/0   state INVALID
 1680  111K ACCEPT all  --  *  *   0.0.0.0/0
0.0.0.0/0   state RELATED,ESTABLISHED
3   789 LOGall  --  *  *   0.0.0.0/0
0.0.0.0/0   LOG flags 0 level 4

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target prot opt in out source
destination
0 0 TCPMSS tcp  --  *  ppp20.0.0.0/0
0.0.0.0/0   tcp flags:0x06/0x02 tcpmss match 1400:1536 TCPMSS
clamp to PMTU
0 0 TCPMSS tcp  --  *  eth10.0.0.0/0
0.0.0.0/0   tcp flags:0x06/0x02 tcpmss match 1400:1536 TCPMSS
clamp to PMTU
0 0 TCPMSS tcp  --  *  eth00.0.0.0/0
0.0.0.0/0   tcp flags:0x06/0x02 tcpmss match 1400:1536 TCPMSS
clamp to PMTU
0 0 TCPMSS tcp  --  *  ppp00.0.0.0/0
0.0.0.0/0   tcp flags:0x06/0x02 tcpmss match 1400:1536 TCPMSS
clamp to PMTU
2   338 ACCEPT all  --  *  *   0.0.0.0/0
192.168.1.0/24  state RELATED,ESTABLISHED
0 0 LOGall  --  *  *   0.0.0.0/0
0.0.0.0/0   LOG flags 0 level 4

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source
destination
0 0 ACCEPT all  --  *  lo  0.0.0.0/0
0.0.0.0/0
0 0 DROP   all  -f  *  *   0.0.0.0/0
0.0.0.0/0
0 0 DROP   all  --  *  *   0.0.0.0/0
0.0.0.0/0   state INVALID
 2546 3525K ACCEPT all  --  *  *   0.0.0.0/0
0.0.0.0/0   state NEW,RELATED,ESTABLISHED

Chain PREROUTING (policy ACCEPT 24 packets, 3618 bytes)
 pkts bytes target prot opt in out source
destination

Chain POSTROUTING (policy ACCEPT 14 packets, 897 bytes)
 pkts bytes target prot opt in out source
destination
   11   762 MASQUERADE  all  --  *  ppp00.0.0.0/0
0.0.0.0/0
4  1055 MASQUERADE  all  --  *  eth00.0.0.0/0
0.0.0.0/0
0 0 MASQUERADE  all  --  *  eth10.0.0.0/0
0.0.0.0/0

Chain OUTPUT (policy ACCEPT 22 packets, 2212 bytes)
 pkts bytes target prot opt in out source
destination

grazie

Pol


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e46a23.5050...@fuckaround.org

Re: port forwarding

[Pol Hallen]

aggiungendo la regola ho:

Chain PREROUTING (policy ACCEPT 4 packets, 583 bytes)
 pkts bytes target prot opt in out source
destination
3   180 DNAT   tcp  --  ppp0   *   0.0.0.0/0
0.0.0.0/0   tcp dpt:20022 to:192.168.1.254:

Chain POSTROUTING (policy ACCEPT 6 packets, 390 bytes)
 pkts bytes target prot opt in out source
destination
9   594 MASQUERADE  all  --  *  ppp00.0.0.0/0
0.0.0.0/0
170 MASQUERADE  all  --  *  eth00.0.0.0/0
0.0.0.0/0
0 0 MASQUERADE  all  --  *  eth10.0.0.0/0
0.0.0.0/0

Chain OUTPUT (policy ACCEPT 15 packets, 994 bytes)
 pkts bytes target prot opt in out source
destination

ppp0 è l'interfaccia che viene attivata da pppoeconf, eth1 è la scheda
(non ha ip) collegata al modem, eth0 la lan.

Pol


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e46bb7.80...@fuckaround.org

Re: port forwarding

[Pol Hallen]

mancava il -d nella chain forward

grazie per l'aiuto :-)

Pol


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e47068.1090...@fuckaround.org

Re: port forwarding

[emmanuel segura]

Ciao Pol

Hai provato in questo modo?

iptables -A FORWARD -p tcp -i ppp0 -d 192.168.1.100 --dport  -m state
--state NEW -j ACCEPT



Il giorno 15 luglio 2013 23:58, Pol Hallen debitv...@fuckaround.org ha
scritto:

 mancava il -d nella chain forward

 grazie per l'aiuto :-)

 Pol


 --
 Per REVOCARE l'iscrizione alla lista, inviare un email a
 debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
 problemi inviare un email in INGLESE a listmas...@lists.debian.org

 To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: http://lists.debian.org/51e47068.1090...@fuckaround.org




-- 
esta es mi vida e me la vivo hasta que dios quiera

Re: WAN multiple e port forwarding

[Vincenzo Villa]

Il giorno sab, 10/09/2011 alle 23.13 +0200, Marco Gaiarin ha scritto:
 Mandi! Vincenzo Villa

Mandi Marco (quanto tempo dall'anno passato a Codroipo...)

 credo sia possibile marcando delle connessioni e usando le
 marche per il routing...

Avevo provato (con scarso successo) ma ora ho dovuto sospendere visto
che non è bello giocare con il routing di un gateway live, soprattutto
in remoto :-)

 ti conviene fissare l'inbound su una sola interfaccia

Questo è un problema visto che il motivo principale della ADSL multiple
è proprio il fatto che spesso qualcuna è giù...
-- 
Vincenzo Villa
IISS Alessandro Greppi
Monticello Brianza - Lecco
http://www.issgreppi.it



-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1315725421.3595.22.camel@vv-studio15.village

Re: WAN multiple e port forwarding

[giovanni Scudeller]

Il 09/11/2011 09:17 AM, Vincenzo Villa ha scritto:
 Il giorno sab, 10/09/2011 alle 23.13 +0200, Marco Gaiarin ha scritto:
 Mandi! Vincenzo Villa
 
 Mandi Marco (quanto tempo dall'anno passato a Codroipo...)
 
 credo sia possibile marcando delle connessioni e usando le
 marche per il routing...
E' unico sistema.
 
 Avevo provato (con scarso successo) ma ora ho dovuto sospendere visto
 che non è bello giocare con il routing di un gateway live, soprattutto
 in remoto :-)
Lavorare da remoto NO GRAZIE ( scusate gli urli ma i down parlano da
soli). Un po ti tempo fa avevo chiesto in lista qualcuno conosceva un
buon howto per il bilanciamento su due linee giusto per portarmi avanti.
Io ho fatto un po esperimenti ( in locale e con una macchina di test) e
ti devo dire che non difficile ci devi solo perdere un sacco di tempo a
capire i come marca iptables e come IP gestisce i mark.
alla fine litgando un po ( sempre da locale) con questo  in aiuto ci
sono riuscito
http://www.linuxhorizon.ro/iproute2.html ( segui tutti i link)
ora ho 2 8mb simmetrici in perfetto bilanciamento tra loro.
PS : ma se potevo mettere le mani sul router di uno dei due provaider ci
avrei messi la meta del tempo  perche' spesso ci sono i trucchi ( o
se ci sono)..
 
 ti conviene fissare l'inbound su una sola interfaccia
 
 Questo è un problema visto che il motivo principale della ADSL multiple
 è proprio il fatto che spesso qualcuna è giù...


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e6cb365.2090...@gmail.com

Re: WAN multiple e port forwarding

[Marco Gaiarin]

Mandi! Vincenzo Villa
  In chel dì si favelave...

VV Idee da cui cominciare?

Non ritrovo il link, ma nella sostanza il problema è che il routing è
stateless, e quindi a meno di metterti a implementare del routing
stateful (credo sia possibile marcando delle connessioni e usando le
marche per il routing...) ti conviene fissare l'inbound su una sola
interfaccia, di modo che il routing sia fisso (e quindi in particolare
stateless).

-- 
  Bisogna saper scegliere il tempo
  non arrivarci per contrarieta`(F. Guccini)


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/dg0tj8-in4@lily.sv.lnf.it

Re: WAN multiple e port forwarding

[straluna]

Ehhmmm...coff cofff.quanto tempo!

Il giorno Wed, 07 Sep 2011 18:43:08 +0200
Vincenzo Villa vincenzo.vi...@issgreppi.it ha scritto:

 Idee da cui cominciare?

Dai un'occhiata qui:

http://www.shorewall.net/MultiISP.html

E' una lettura utile, vedi i Warning a inizio pagina, anche nel caso
in cui non intenda implementare il tutto con shorewall (che
personalmente mi sentirei di consigliare).

Saluti a tutti, ai vecchi nomi che leggo sempre con piacere e ai
nuovi...

ciaps,
a.

-- 
echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110909122425.4bf64fd3@bestiaccia.localdomain

WAN multiple e port forwarding

[Vincenzo Villa]

Ciao a tutta la lista

La rete della mia scuola è connessa attraverso tre ADSL (configurazione
in -pseudo- load balancing e fail-over. Fatta a partire da qui:
http://www.debian-administration.org/articles/377 ).Funziona nel senso
che bilancia (più o meno) il carico e se salta una ADSL passa sulle
altre due. 

Il problema è il port forwarding se dall'esterno voglio raggiungere una
macchina dentro la LAN. Dai log si vede che, a volte, l'ACK non viene
inviato sulla stessa ADSL da cui è arrivato il SYN.

Idee da cui cominciare?

Il gateway è squeeze, i server interni un po' squeeze ed un po' lenny
-- 
Vincenzo Villa
IISS Alessandro Greppi
Monticello Brianza - Lecco
http://www.issgreppi.it


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1315413788.3727.32.camel@vv-studio15.village

Port forwarding

[Carlo Borelli]

Salve,
andando in giro con il mini notebook uso una pennetta usb per navigare, un
ZTE MF626, fin qui tutto bene, la velocità è sufficiente per un uso normale,
posso scaricare ad una velocità di 200/300 Kb, posso anche per fare chiamate
VoIP usando softphone come X-lite o Zoiper. Il problema è che la telco che
mi da servizio di connessione non mi permette di torrentare, le porte sono
inesorabilmente filtrate.
Stavo dando una occhiata in San Google e mi sono imbattuto in
quest'articolo:
http://www.voipandhack.it/archives/linux/port-forwarding-dinamico-con-ssh

Presuppone di avere un server esterno alla rete in uso con un accesso ssh,
l'unico problema è che bisogna avere al server in questione un accesso come
superutente.
Posseggo servers che posso usare per fare port forwarding attraverso ssh
pero nè con il piffero sono solito abilitare l'accesso dalla rete come root,
significa aprire metà porta agli sconosciuti.
Come posso abilitare da uno qualsiasi dei miei server un port forwarding
dinamico senza abbassare le difese e usando un account di utente normale?
Grazie in anticipo!
-- 
Registered Linux User #249354
Ad astra per aspera

Re: Port forwarding

[dea]

... puoi aprirti una sessione nuova SSH su una porta non standard alla quale
dai accesso con filtraggio dinamico di IP tramite IPtables (ed un po di
scripting) in modo da filtrare l'accesso SOLO dal tuo IP client. A quella
porta abiliti il ROOT login, mentre la porta standard rimane con i permessi
attuali.

Luca

-- Original Message ---
From: Carlo Borelli carlo.bore...@gmail.com
To: debian-italian debian-italian@lists.debian.org
Sent: Wed, 3 Feb 2010 09:31:05 +1930
Subject: Port forwarding

 Salve,
 andando in giro con il mini notebook uso una pennetta usb per 
 navigare, un ZTE MF626, fin qui tutto bene, la velocità è 
 sufficiente per un uso normale, posso scaricare ad una velocità di 
 200/300 Kb, posso anche per fare chiamate VoIP usando softphone come 
 X-lite o Zoiper. Il problema è che la telco che mi da servizio di 
 connessione non mi permette di torrentare, le porte sono 
 inesorabilmente filtrate. Stavo dando una occhiata in San Google e 
 mi sono imbattuto in quest'articolo: 
 http://www.voipandhack.it/archives/linux/port-forwarding-dinamico-
 con-ssh
 
 Presuppone di avere un server esterno alla rete in uso con un 
 accesso ssh, l'unico problema è che bisogna avere al server in 
 questione un accesso come superutente. Posseggo servers che posso 
 usare per fare port forwarding attraverso ssh pero nè con il 
 piffero sono solito abilitare l'accesso dalla rete come root,
  significa aprire metà porta agli sconosciuti. Come posso abilitare 
 da uno qualsiasi dei miei server un port forwarding dinamico senza 
 abbassare le difese e usando un account di utente normale? Grazie in 
 anticipo!
 -- 
 Registered Linux User #249354
 Ad astra per aspera
--- End of Original Message ---


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Port forwarding

[Carlo Borelli]

 ... puoi aprirti una sessione nuova SSH su una porta non standard alla
 quale
 dai accesso con filtraggio dinamico di IP tramite IPtables (ed un po di
 scripting) in modo da filtrare l'accesso SOLO dal tuo IP client. A quella
 porta abiliti il ROOT login, mentre la porta standard rimane con i permessi
 attuali.

 Luca


La telco che mi da connessione internet esce con i suoi firewall, quindi non
so con quale indirizzo IP esco in internet già che la telco ha un suo pool
di indirizzi pubblici che si riferiscono ai firewall. Con questo sistema io
sono su una rete 10.x.x.x, lo stesso sistema che usa Fastweb, solo che qui
non esiste Adunanza...
Già uso porte non standard per SSH, tipo  per evitare intrusioni non
desiderate, assieme a Fail2ban, APF e BFD.
Sarà possibile stabilire un port forwarding statico su uno dei miei server
esterni?

Re: Port forwarding

[dea]

.. certo, non sai con quale IP pubblico esci...

ma se ti crei una entry su un DNS dinamico (ne sparo uno a caso, no-ip.org)
quindi usi il software di associazione dinamica tua entry - IP pubblico
con cui esci di no-ip, software che metti sul tuo PC in rete 10.x.x.x o
direttamente su una direttiva del tuo router..

a questo punto non hai che da aprire SSH con possibilità di login root verso
l'IP associato alla tua entry dinamica...

-- Original Message ---
From: Carlo Borelli carlo.bore...@gmail.com
To: debian-italian debian-italian@lists.debian.org
Sent: Wed, 3 Feb 2010 10:12:04 +1930
Subject: Re: Port forwarding

  ... puoi aprirti una sessione nuova SSH su una porta non standard alla
  quale
  dai accesso con filtraggio dinamico di IP tramite IPtables (ed un po di
  scripting) in modo da filtrare l'accesso SOLO dal tuo IP client. A quella
  porta abiliti il ROOT login, mentre la porta standard rimane con i permessi
  attuali.
 
  Luca
 
 
 La telco che mi da connessione internet esce con i suoi firewall,
  quindi non so con quale indirizzo IP esco in internet già che la 
 telco ha un suo pool di indirizzi pubblici che si riferiscono ai 
 firewall. Con questo sistema io sono su una rete 10.x.x.x, lo stesso 
 sistema che usa Fastweb, solo che qui non esiste Adunanza... Già 
 uso porte non standard per SSH, tipo  per evitare intrusioni non 
 desiderate, assieme a Fail2ban, APF e BFD. Sarà possibile stabilire 
 un port forwarding statico su uno dei miei server esterni?
--- End of Original Message ---


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Port forwarding

[Carlo Borelli]

 .. certo, non sai con quale IP pubblico esci...

 ma se ti crei una entry su un DNS dinamico (ne sparo uno a caso, no-ip.org
 )
 quindi usi il software di associazione dinamica tua entry - IP pubblico
 con cui esci di no-ip, software che metti sul tuo PC in rete 10.x.x.x o
 direttamente su una direttiva del tuo router..

 a questo punto non hai che da aprire SSH con possibilità di login root
 verso
 l'IP associato alla tua entry dinamica...


Pero in questo modo creo un tunnel ssh da internet verso la mia macchina,
passando attraverso i firewall della telco che è Telefonica, quella che
probabilmente compra anche Telecom Italia.
Io voglio creare un tunnel ssh dalla mia macchina ad un server esterno alla
rete nella quale sono e usarlo come proxy... Vedró come fare.
Grazie!

Re: Port forwarding

[dea]

...

 Io 
 voglio creare un tunnel ssh dalla mia macchina ad un server esterno alla
 rete nella quale sono e usarlo come proxy

Mumble, scusa ma non capisco... il discorso che ti ho fatto è relativo solo al
filtraggio lato server, per aumentare la sicurezza.
Una volta che tu dalla tua macchina esci verso la porta non standard SSH del
tuo server crei il tunnel e lo usi come proxy.

.. il problema non era riassumibile in non voglio una porta SSH aperta al
mondo dove root possa accedere direttamente ? Se no, mi sono perso.


  .. certo, non sai con quale IP pubblico esci...
 
  ma se ti crei una entry su un DNS dinamico (ne sparo uno a caso, no-ip.org
  )
  quindi usi il software di associazione dinamica tua entry - IP pubblico
  con cui esci di no-ip, software che metti sul tuo PC in rete 10.x.x.x o
  direttamente su una direttiva del tuo router..
 
  a questo punto non hai che da aprire SSH con possibilità di login root
  verso
  l'IP associato alla tua entry dinamica...
 
 
 Pero in questo modo creo un tunnel ssh da internet verso la mia 
 macchina, passando attraverso i firewall della telco che è 
 Telefonica, quella che probabilmente compra anche Telecom Italia. Io 
 voglio creare un tunnel ssh dalla mia macchina ad un server esterno alla
 rete nella quale sono e usarlo come proxy... Vedró come fare.
 Grazie!
--- End of Original Message ---


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Port forwarding

[Carlo Borelli]

 ...

  Io
  voglio creare un tunnel ssh dalla mia macchina ad un server esterno alla
  rete nella quale sono e usarlo come proxy

 Mumble, scusa ma non capisco... il discorso che ti ho fatto è relativo solo
 al
 filtraggio lato server, per aumentare la sicurezza.
 Una volta che tu dalla tua macchina esci verso la porta non standard SSH
 del
 tuo server crei il tunnel e lo usi come proxy.

 .. il problema non era riassumibile in non voglio una porta SSH aperta al
 mondo dove root possa accedere direttamente ? Se no, mi sono perso.


Si, esatto, questo è il problema, scusami, ero io che non avevo capito.
Tra l'altro i server in questione sono su adsl con indirizzi dinamici e
usano il sistema che tu menzioni, io uso dyndns.com per monitorarli sulla
rete. Ma questo non è il problema.

Il problema è questo (man 1 ssh):
 -D [bind_address:]port
 Specifies a local “dynamic” application-level port forwarding.
 This works by allocating a socket to listen to port on the
local
 side, optionally bound to the specified bind_address.  Whenever
a
 connection is made to this port, the connection is forwarded
over
 the secure channel, and the application protocol is then used
to
 determine where to connect to from the remote machine.
Currently
 the SOCKS4 and SOCKS5 protocols are supported, and ssh will act
 as a SOCKS server.  Only root can forward privileged ports.
 Dynamic port forwardings can also be specified in the
configura‐
 tion file.

Re: Port forwarding

[Carlo Borelli]

...

  Io
  voglio creare un tunnel ssh dalla mia macchina ad un server esterno alla
  rete nella quale sono e usarlo come proxy

 Mumble, scusa ma non capisco... il discorso che ti ho fatto è relativo
 solo al
 filtraggio lato server, per aumentare la sicurezza.
 Una volta che tu dalla tua macchina esci verso la porta non standard SSH
 del
 tuo server crei il tunnel e lo usi come proxy.

 .. il problema non era riassumibile in non voglio una porta SSH aperta al
 mondo dove root possa accedere direttamente ? Se no, mi sono perso.


 Si, esatto, questo è il problema, scusami, ero io che non avevo capito.
 Tra l'altro i server in questione sono su adsl con indirizzi dinamici e
 usano il sistema che tu menzioni, io uso dyndns.com per monitorarli sulla
 rete. Ma questo non è il problema.

 Il problema è questo (man 1 ssh):
  -D [bind_address:]port
  Specifies a local “dynamic” application-level port forwarding.
  This works by allocating a socket to listen to port on the
 local
  side, optionally bound to the specified bind_address.
 Whenever a
  connection is made to this port, the connection is forwarded
 over
  the secure channel, and the application protocol is then used
 to
  determine where to connect to from the remote machine.
 Currently
  the SOCKS4 and SOCKS5 protocols are supported, and ssh will
 act
  as a SOCKS server.  Only root can forward privileged ports.
  Dynamic port forwardings can also be specified in the
 configura‐
  tion file.


Bene, stavo giusto dando un occhiata a gstm, è un gestore di tunnel ssh di
Gnome, carino, pratico e funcionale!
Ho fatto qualche prova con un utente senza provilegi, su un server ssh
remoto dove ho un apache su porta 8080, ho stabilito un forward locale dalla
porta  alla porta 8080 remota e opprtunamente modificate le impostazioni
proxy di Chrome, vedo il sitio web remoto. Adesso dovrei modificare le
regole strettissime di iptables che ho su questo server per il forward su un
altra porta che non sia la 8080, pero questa è un altra storia...
Soluzionato.

port forwarding

[Davide Corio]

Sono un po' niubbo per quanto riguarda il networking.

Ho impostato il port forwarding da una macchina ad un'altra.
tutto funziona correttamente, ma la macchina di destinazione si vede
arrivare le richieste per un ip che non è il suo.
Quindi i virtualhost di apache non funzionano.

Qualcuno mi sa dire come fare? :(
O cosa cercare su google per capire :)
-- 
Davide Corio   [EMAIL PROTECTED]
Redomino S.r.l.C.so Monte Grappa 90/b - 10145 Torino - Italy
Tel: +39 011 19502871 - Fax: +39 011 19502871http://www.redomino.com



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: port forwarding

[Federico Di Gregorio]

Il giorno mer, 29/06/2005 alle 10.53 +0200, Davide Corio ha scritto:
 Sono un po' niubbo per quanto riguarda il networking.
 
 Ho impostato il port forwarding da una macchina ad un'altra.
 tutto funziona correttamente, ma la macchina di destinazione si vede
 arrivare le richieste per un ip che non è il suo.
 Quindi i virtualhost di apache non funzionano.

Se fai DNAT (Destination NAT) l'ip dovrebbe proprio essere il suo.
Cos'hai usato per fare port forwarding?

-- 
Federico Di Gregorio http://people.initd.org/fog
Debian GNU/Linux Developer[EMAIL PROTECTED]
INIT.D Developer   [EMAIL PROTECTED]
   Ma chi sei?-il trafficante di Nutella? -- Giorgia


signature.asc
Description: This is a digitally signed message part

Re: port forwarding

[Davide Corio]

Il giorno mer, 29/06/2005 alle 10.53 +0200, Davide Corio ha scritto:
 Sono un po' niubbo per quanto riguarda il networking.
 
 Ho impostato il port forwarding da una macchina ad un'altra.
 tutto funziona correttamente, ma la macchina di destinazione si vede
 arrivare le richieste per un ip che non è il suo.
 Quindi i virtualhost di apache non funzionano.
 
 Qualcuno mi sa dire come fare? :(
 O cosa cercare su google per capire :)

Mi sono reso conto che ho scritto una boiata

quello che vorrei fare è questo.
A parte il port forwarding vorrei che le richieste inviate da IP1 a IP2,
arrivassero con l'indirizzi di destinazione del pacchetto uguale all'ip
di IP2.
Comprendo che il client invia le richieste ad IP1 che a sua volta le
reinvia ad IP2, ma non modifica l'header del pacchetto immagino...

è possibile? centra il nat?
-- 
Davide Corio   [EMAIL PROTECTED]
Redomino S.r.l.C.so Monte Grappa 90/b - 10145 Torino - Italy
Tel: +39 011 19502871 - Fax: +39 011 19502871http://www.redomino.com



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: port forwarding

[Davide Corio]

Il giorno mer, 29/06/2005 alle 10.55 +0200, Federico Di Gregorio ha
scritto:
 Se fai DNAT (Destination NAT) l'ip dovrebbe proprio essere il suo.
 Cos'hai usato per fare port forwarding?

-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 
ip_di_destinazione

-- 
Davide Corio   [EMAIL PROTECTED]
Redomino S.r.l.C.so Monte Grappa 90/b - 10145 Torino - Italy
Tel: +39 011 19502871 - Fax: +39 011 19502871http://www.redomino.com



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: port forwarding

[Syneus]

Davide Corio wrote:

quello che vorrei fare è questo.
A parte il port forwarding vorrei che le richieste inviate da IP1 a IP2,
arrivassero con l'indirizzi di destinazione del pacchetto uguale all'ip
di IP2.
Comprendo che il client invia le richieste ad IP1 che a sua volta le
reinvia ad IP2, ma non modifica l'header del pacchetto immagino...

è possibile? centra il nat?


Per quanto ne so, il DNAT modifica l'header del pacchetto IP settandolo 
a quello che è stato specificato in  --to-destination.


Quindi immagino che in una situazione in cui c'è un firewall (indirizzo 
IP pubblico) sul quale è stato impostato il DNAT verso uno o più host di 
una rete interna (ad esempio con indirizzamento privato) per tutti i 
pacchetti destinati alla porta tcp 80, i webserver della rete interna si 
vedono arrivare pacchetti con IP di destinazione quello privato, e non 
l'IP pubblico del firewall.


Prova a vedere il traffico che arriva sul webserver interno con tcpdump.

Inoltre se vuoi approfondire un po' iptables, ti consiglio questo tutorial:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Ciao,
Syneus


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: port forwarding

[Davide Corio]

Il giorno mer, 29/06/2005 alle 11.42 +0200, Syneus ha scritto:
 Prova a vedere il traffico che arriva sul webserver interno con tcpdump.

giusto, ci provo
cmq ad apache che sta sulla macchina2, arrivano richieste per l'ip della
macchina1 che sta facendo il forwarding

 Inoltre se vuoi approfondire un po' iptables, ti consiglio questo tutorial:
 http://iptables-tutorial.frozentux.net/iptables-tutorial.html
grazie mille, è molto più dettagliato di quelli che ho trovato, e più
semplice del netfilter howto :)

Comincio a capire qualcosa di più.

-- 
Davide Corio   [EMAIL PROTECTED]
Redomino S.r.l.C.so Monte Grappa 90/b - 10145 Torino - Italy
Tel: +39 011 19502871 - Fax: +39 011 19502871http://www.redomino.com



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

ssh port forwarding

[Lucio Crusca]

Ho un server ssh (woody) dove vorrei configurare un utente in modo che possa
fare solo il port forwarding, ovvero non deve poter eseguire alcun comando
nè trasferire alcun file. Fino a qui basterebbe usare uno script come shell
che non fa altro che attendere (almeno credo). Il problema, però, è che il
port forwarding lo dovrebbe attivare il server a fronte del login, non il
client che si connette, per il fatto che il client non ha tutte le
informazioni che gli servono, ovvero non sa quale sia la porta giusta del
server da forwardare. Sapete se è possibile?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ipchains e port forwarding

[Giacomo Tesio]

Geppo [EMAIL PROTECTED] ha scritto
 

Ho letto un po' di documentazione ed ho visto che dovrei usare
ipmasqadm
Visto che mi sono trovato di recente di fronte allo stesso problema (e 
ho risolto alla fine con iptables, prendendo la documentazione da 
netfilter.org) mi chiedevo se qualcuno mi potesse spiegare brevemente 
che differenza passa fra iptables è il pacchetto ipmasq?

Grazie mille e a presto
Giacomo

Re: ipchains e port forwarding

[sky73]

Il giorno 19-06-2003 9:10, Giacomo Tesio ha scritto:

 che differenza passa fra iptables è il pacchetto ipmasq?

ho idea che ipmasq è roba vecchia rimpiazzata da iptables con
PREROUTING  POSTROUTING fai quello che vuoi...

ciao
Mario

Re: ipchains e port forwarding

[(x = i)@]

Geppo [EMAIL PROTECTED] ha scritto
 ho una Slink con kernel 2.2 che mi fa da router mascherando la mia
 rete locale con qualche regoletta di ipchains.

Oeh! io capisco che stable e' bello, pero'... ^___^

 Ora vorrei fare un port forwarding: vorrei dirigere il traffico
 che arriva sulla porta 1999 dell'interfaccia ISDN del router
 sulla porta 1999 di un server interno.
 Ho letto un po' di documentazione ed ho visto che dovrei usare
 ipmasqadm; il problema è che non trovo questo pacchetto nei miei
 CD e neanche sul sito Debian (c'è il pacchetto per Woody ma
 vuole la libc6 2.2).

solita birba

 Sapete dirmi dove trovare questo pacchetto per Slink?

No.
Su ipchains howto mandano a
http://juanjox.linuxhq.com/kernel/index.html
ma google, la prima che dice mi sembra migliore:
http://www.e-infomax.com/ipmasq/juanjox/

se risolvi, queste righe dovrebbero fare al tuo caso:
(da sistemare, ovvio)

# annullamento del (port)forwarding(markato)
$IPMASQADM mfw -F
$IPMASQADM portfw -f

#-- Per inoltrare con il forwarding dall'esterno su DMZ, si possono
#-- marcare i pacchetti entranti ed inoltrare al server in DMZ ...200
#-- come da esempio sotto:
# if [ $IF_EXT != OFF ]  [ $IF_DMZ != OFF ] ; then
# $IPCHAINS -A input -i $IF_EXT -p tcp -y \
# -s $ANY_IP $UNPRIV_P -d $IP_EXT 80 -m 1
# $IPMASQADM mfw -A -m 1 -r 192.168.1.200 80
# fi
#-- Oppure con il piu' conosciuto portfw (invece di mfw):
# if [ $IF_EXT != OFF ]  [ $IF_DMZ != OFF ] ; then
# $IPMASQADM portfw -a -P tcp -L $IP_EXT 80 -R 192.168.1.200 80
# fi
#
#-- Ricordarsi di permettere traffico web (80) da dmz.
# if [ $IF_DMZ != OFF ] ; then
# $IPCHAINS -A input -i $IF_DMZ -p tcp -s $DMZWORK 80 -d $ANY_IP -j
ACCEPT -l
...
# status
$IPMASQADM mfw -L
$IPMASQADM portfw -l

 C'è
 un'altra soluzione per fare port forwarding con ipchains?

redir
rinetd
portfwd

--
RobiZ
( x = i )@

Re: ipchains e port forwarding

[Geppo]

(x = i)@ wrote:
 Geppo [EMAIL PROTECTED] ha scritto

ho una Slink con kernel 2.2 che mi fa da router mascherando la mia
rete locale con qualche regoletta di ipchains.

 Oeh! io capisco che stable e' bello, pero'... ^___^
Il PC è piuttosto datato e quindi volevo lasciare Slink e
poi, quando una cosa funziona, perché cambiare? ;)
C'è
un'altra soluzione per fare port forwarding con ipchains?

 redir
 rinetd
 portfwd

Ho risolto con rinetd come mi aveva suggerito in privato
sky73.
Grazie a *  ciao,
Giuseppe
--
  _    Giuseppe Bordoni _ http://www.geppozone.com ( _)
(o)  L'università di Berkeley ha prodotto due importanti  \\\'',)
//\   invenzioni: l'LSD e Unix; credo non sia una coincidenza\/  \ ^
V_/_-- J. S. Anderson_\'_/_)

Re: ipchains e port forwarding

[sky73]

Il giorno 18-06-2003 11:12, Geppo ha scritto:

 Ho risolto con rinetd come mi aveva suggerito in privato
 sky73.

molto bene, rinetd è un'ottima soluzione per il portforward
senza scomodare ipchains/iptables in quei servizi
dove stato della connessione e indirizzo sorgente non li puoì discriminare

ciao,
Mario

ipchains e port forwarding

[Geppo]

Ciao a tutti,
ho una Slink con kernel 2.2 che mi fa da router mascherando la mia
rete locale con qualche regoletta di ipchains.
Ora vorrei fare un port forwarding: vorrei dirigere il traffico
che arriva sulla porta 1999 dell'interfaccia ISDN del router
sulla porta 1999 di un server interno.
Ho letto un po' di documentazione ed ho visto che dovrei usare
ipmasqadm; il problema è che non trovo questo pacchetto nei miei
CD e neanche sul sito Debian (c'è il pacchetto per Woody ma
vuole la libc6 2.2).
Sapete dirmi dove trovare questo pacchetto per Slink? C'è
un'altra soluzione per fare port forwarding con ipchains?
Grazie,
Giuseppe
--
  _    Giuseppe Bordoni _ http://www.geppozone.com ( _)
(o)  L'università di Berkeley ha prodotto due importanti  \\\'',)
//\   invenzioni: l'LSD e Unix; credo non sia una coincidenza\/  \ ^
V_/_-- J. S. Anderson_\'_/_)