View previous topic :: View next topic |
Author |
Message |
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 1:42 pm Post subject: iptables NAT |
|
|
ciao o due schede eth0 eth1
sulla eth0 o l'ip piublico ( di fastoweb )
sulla eth1 o l'ip statico per la rete locale
mi anno detto di usare iptabled NAT mi sono letto un po di guide su www.gogle.it/linux
ma non sono sicuro di cosa devvo fare
se qualcheduno sà di cosa parlo mi aiuta a capire ...... |
|
Back to top |
|
|
fedeliallalinea Administrator
Joined: 08 Mar 2003 Posts: 30996 Location: here
|
Posted: Mon Jul 12, 2004 1:46 pm Post subject: |
|
|
Io quando l'ho fatto ho seguito questa guida spiega molto bene la cosa e sicuramente la spiga megli di quanto possa fare io _________________ Questions are guaranteed in life; Answers aren't. |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 1:51 pm Post subject: |
|
|
grazieeeeeeeeeeeeee |
|
Back to top |
|
|
abaddon83 Guru
Joined: 17 Jan 2004 Posts: 494
|
Posted: Mon Jul 12, 2004 2:20 pm Post subject: |
|
|
ti basta abilitare il masquering con una regola tipo questa ^^
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
questa dice che il traffico che ha come sorgente la rete 192.168.2.0/24 va mscherato l'ip sorgente e dice che l'uscita è -o eth0 (internet) _________________ Abaddon's House
Jabber account: abaddon@jabber.linux.it |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 2:57 pm Post subject: |
|
|
io o scritto cosi
# Linux 2.4
# Appendi una regola di pre-routing (-A PREROUTING) alla tabella NAT (-t nat)
# in modo che i pacchetti TCP (-p tcp) destinati all'indirizzo 1.2.3.4 (-d
# 1.2.3.4) porta 8080 (--dport 8080) siano diretti (-j DNAT) verso l'indirizzo
# 192.168.1.1, porta 80 (--to 192.168.1.1:80).
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 \
-j DNAT --to 192.168.1.1:80
solo che mi da errore :
bad argument j |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 2:58 pm Post subject: |
|
|
aem... mo provvo
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
solo che non o capito una cosa ma la shedda eth1 non ce la metto??? |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 3:03 pm Post subject: |
|
|
aspetta se o capito bene
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
192.168.2.0/24 sarebbero gli ip localii ( eth0 ) |
|
Back to top |
|
|
Ty[L]eR Apprentice
Joined: 18 May 2004 Posts: 190 Location: it
|
Posted: Mon Jul 12, 2004 3:08 pm Post subject: |
|
|
rota wrote: |
192.168.2.0/24 sarebbero gli ip localii ( eth0 ) |
un range di IP della tua lan... nel tuo caso mi sembra che sia eth1 se non ho capito male... poichè eth0 è fastzoz |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 3:15 pm Post subject: |
|
|
si me so sbaliato a scrivve:
una cosa non mi è chiaro ma perche devvo metterci acnhe /24 non basta l'indirizzo della shedda con l'ip staticho???
io com co messo pure /24
pero mi chieddo 1 ) come faccio a vedere cosa o creato
2) è quando riavvio che succede come faccio a fare in mo do che non mi tocca ripetere il comando ogni volta???? |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 3:29 pm Post subject: |
|
|
quello che a me servve è che le due shedde diventino cme se fosse una
m.. unaltra cosa squid potrebbe dare probb. |
|
Back to top |
|
|
Truzzone Guru
Joined: 16 Oct 2003 Posts: 492 Location: Italy
|
Posted: Mon Jul 12, 2004 3:32 pm Post subject: |
|
|
Mi 'intrometto' in questo thread per chiedere una cosa:
Ho due schede di rete nel mio serverino, in (eth0) ho collegato il router/modem ethernet e nell'altra (eth1) ho collegato lo switch, dove sono collegati anche altri pc a cui devo offrire internet e spazio di condivisione comune nel serverino, come devo configurare le 2 schede nel file /etc/conf.d/net ?
Questa sintassi è corretta:
Code: |
iface_eth0="192.168.0.1 broadcast 192.168.0.255 netmask 255.255.255.0"
iface_eth1="192.168.1.1 broadcast 192.168.0.255 netmask 255.255.255.0"
gateway="eth0/192.168.0.1"
|
Ciao by Truzzone |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 3:47 pm Post subject: |
|
|
allora i o buttato giu il proxy è non riesco a vedere niente
quando do il comando
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
mi dice :
cant use -o with PREROUTING
che o sbagliato??? |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Mon Jul 12, 2004 3:57 pm Post subject: |
|
|
Il che e' vero,non puoi usare -o con PREROUTING ma se hai dato il comando che hai detto, ovvero con POSTROUTING quell'errore te lo sei inventato
Devi dare il comando corretto con POSTROUTING _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 4:04 pm Post subject: |
|
|
m... io
o scritto
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
come mi anno sugg che ne so io come và scritto
come lo devvo scrivvere allora |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Mon Jul 12, 2004 4:07 pm Post subject: |
|
|
Che e' corretto, ma dando quel comando e' IMPOSSIBILE che esca l'avviso per l'opzione PREROUTING...
Potresti mostrarci un po' di output di bash?
Fede _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Mon Jul 12, 2004 4:19 pm Post subject: |
|
|
allora mo o scritto bene il comando io sbagliavvo a scrivvere
invece di scrivvere
-A POSTROUTING
scrivvevo
-A PREROUTING
mo ,lo corretto solo che si va bene non mi dà errori ma non mi permette di usare lo stesso internet |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Mon Jul 12, 2004 4:29 pm Post subject: |
|
|
L'ip forwarding e' attivo?
ot # cat /proc/sys/net/ipv4/ip_forward
0
altair root #
se ti da zero allora e' scorretto e devi fare
echo 1 > /proc/sys/net/ipv4/ip_forward _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
PXL Tux's lil' helper
Joined: 05 Mar 2004 Posts: 113 Location: CH->Ticino
|
Posted: Mon Jul 12, 2004 4:30 pm Post subject: |
|
|
io per abilitare il masquerade sul firweall ho semplicemente usato questo comando:
Code: | iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE |
semplicemente tutto il traffico che va verso l'interfaccia ppp0, verrà mascherata con l'indirizzo in ppp0 =)
io non ho fastweb e quindi non so se ti viene creata una nuova connessione come ppp0, con ip pubblico, altrimenti metti al posto di ppp0 eth0 =)
buona fortuna _________________ "apt-get install emerge" o "emerge apt" ? questo é il problema... |
|
Back to top |
|
|
ProT-0-TypE Veteran
Joined: 20 Dec 2003 Posts: 1624 Location: Cagliari
|
Posted: Mon Jul 12, 2004 6:30 pm Post subject: |
|
|
mi accodo a questo post perchè ho un piccolo problemino anche io
ho due schede di rete
eth0: 192.168.100.100 a cui è collegato il modem
eth1: 192.168.0.1 a cui è collegato un altro pc
Quali sono le regolette per fare il forwarding e far si che Internet funzioni pure sull'altro pc?
io ci ho provato ma mi apre alcuni siti si e altri no.. |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Mon Jul 12, 2004 6:33 pm Post subject: |
|
|
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ps: e' impossibile che alcuni siti vengano aperti e altri no, in quel caso l'errore non e' da imputarsi a queste righe... _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
ProT-0-TypE Veteran
Joined: 20 Dec 2003 Posts: 1624 Location: Cagliari
|
Posted: Mon Jul 12, 2004 6:43 pm Post subject: |
|
|
non sto usando il mio pc per cui non mi ricordo le mie regole.. mi ricordo solo che erano 3 righe, e mi sa che la prima era
Code: | iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE |
ppp0 al posto di eth0. sbagliato?
Lo so, è strano, ma se uso winzozz come server, il client le pagine me le apre tutte, se uso la gentoo no.. |
|
Back to top |
|
|
Ty[L]eR Apprentice
Joined: 18 May 2004 Posts: 190 Location: it
|
Posted: Mon Jul 12, 2004 6:54 pm Post subject: |
|
|
mmmm credo che potreste provare ad emergere net-firewall/shorewall per configurare IPTABLES (nat e firewall)... sinceramente non l'ho mai provato poichè mi son scritto le regole da solo... ma personalmente blocco tutto in entrata tranne i pochi servizi che lascio aperti (in uscita c'è il via libera ) ma comunque ne parlano tutti benissimo...
imho potrebbe essere una soluzione
EDIT:
Code: |
#NAT
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
echo '1' > /proc/sys/net/ipv4/ip_forward
|
cmq questo è un pezzo dello script bash che eseguo all'avvio per nat e firewall... (basta che inserisci il path dello script, che ovviamente dev'esser eseguibile, nel file /etc/conf.d/local.start) |
|
Back to top |
|
|
ProT-0-TypE Veteran
Joined: 20 Dec 2003 Posts: 1624 Location: Cagliari
|
Posted: Mon Jul 12, 2004 7:03 pm Post subject: |
|
|
io non devo bloccare nulla ma solo ridirigere!
questa:
Code: | /sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT |
a che serve esattamente? |
|
Back to top |
|
|
Ty[L]eR Apprentice
Joined: 18 May 2004 Posts: 190 Location: it
|
Posted: Mon Jul 12, 2004 7:25 pm Post subject: |
|
|
se non sbaglio (se sbaglio correggetemi) quel che ho postato forwarda tutto e poi fa un controllo sulla provenienza della richiesta e/o sullo stato |
|
Back to top |
|
|
ProT-0-TypE Veteran
Joined: 20 Dec 2003 Posts: 1624 Location: Cagliari
|
Posted: Mon Jul 12, 2004 7:31 pm Post subject: |
|
|
Code: | iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -j DROP |
Un qualcosa del genere può andare?
Uff ora non ho l'altro pc e non posso provare :'( |
|
Back to top |
|
|
|