lunedì 10 settembre 2012

Modifiche al firewall (regole di nat)

Come perdere una giornata fra HOWTO, FAQ e ricerche web .. senza cavare un ragno dal buco.

Situazione
Ho aggiunto un Web Server interno alla rete locale a cui voglio accedere con l'indirizzo Web principale, ma su una differente porta.
Non son bravo con la grafica, quindi schematizzero` cosi`:

  • Rete
    • PC client
  • Rete Esterna
    • Internet
  • Rete Locale
    • Firewall
      • Web server

L'indirizzo da digitare nel client sara` "http://websitename:10212" e dovra` rispondere il Web Server interno.

Per "nattare" questa connessione ho modificato il firewall inserendo alcune regole, riporto le principali perche` tutto il firewall e` esageratamente lungo.

Regole iptables
Ai pacchetti in arrivo sulla porta 10212 dalla scheda di rete collegata in internet, cambio destinazione e porta, spedendoli al web server interno.
iptables -t nat -I PREROUTING -p TCP -i interfacciainternet --dport 10212 -j DNAT --to-destination indirizzowebserver:80

Accetto tutti i pacchetti in arrivo sulla porta 80, questa regola e` in effetti in una "sottocatena".
iptables -A INPUT -p TCP -s 0/0 --destination-port 80 -j ACCEPT

Faccio proseguire i pacchetti, e` un'altra sottocatena concatenata con quelle che accettano/scartano i pacchetti in ingresso.
iptables -A FORWARD -p TCP -i interfacciainternet --dport 80 -j ACCEPT

Quindi ricapitolando, modifico la destinazione del pacchetto in PREROUTING, accetto (ACCEPT) i pacchetti e li faccio proseguire (FORWARD), poi c'e` il solito MASQUERADE in uscita cui non serve metter mano.

Spero di essermi spiegato.

Nessun commento:

Posta un commento