Pagina 1 di 1

MessaggioInviato: dom gen 22, 2012 7:01 pm
da Tokka
Scusate l'ot, ma avrei bisogno di configurare una macchina come exposed host/dmz tramite iptables, su un server connesso in umts.
Tra quello che ho trovato fin'ora, ero arrivato a questo, ma sembra non andare:
Codice: Seleziona tutto
iptables -P FORWARD DROP

iptables -t nat -A PREROUTING -i ppp0 \
-j DNAT --to-destination 192.168.1.5

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth0 -d 192.168.1.5 \
-m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


Se avete suggerimenti e/o correzioni sono bene accetti ;D

MessaggioInviato: lun gen 23, 2012 3:52 pm
da skizzo3000
se è tutta la conf... secondo me sarebbe da rivedere...
cmq come prima prova togliere la prima riga
iptables -P FORWARD DROP

Poi io strutturerei la conf così:
-F INPUT
-F OUTPUT
-t nat -F PREROUTING
-t nat -F POSTPROUTING
-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD ACCEPT

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-t nat -A PREROUTING -i ppp0 -j DNAT --to-destination 192.168.1.5

-t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Fai sempre a tempo a chiudere il forward se con questa conf funziona
-A FORWARD -i ppp0 -p tcp --dport 80,443 -d 192.168.1.5 -j ACCEPT
-A FORWARD -i ppp0 -p udp --dport 5060 -d 192.168.1.5 -j ACCEPT
-A FORWARD -i ppp0 -j DROP

Sk3

MessaggioInviato: lun gen 23, 2012 6:37 pm
da Tokka
Ciao Sk, ho provato anche i tuoi comandi, ma pare non volerne sapere :(
A memoria non mi pare che 3 applichi filtri, ma per scrupolo ho messo un range di porte dalla 80 alla 20000, giusto per essere sicuro.
Mi sta sfuggendo qualcosa, ma non capisco cosa :-\
In sostanza dovrebbe essere un semplice reindirizzamento delle porte dallo scatolo connesso via chiavetta, al router che fa da firewall interno, in modo da poter poi gestire le porte tramite router per quanto riguarda i pc, e lasciare lo scatolo in sicurezza (allo stato attuale non è raggiungibile dall'esterno, o almeno io non sono riusco ad entrarci :P).
Non so se il blocco attuale può essere causato dai lavori che sta eseguendo la 3 in questa zona, visto che attualmente la connessione hsdpa non va...ma non credo ::)

MessaggioInviato: lun gen 23, 2012 8:52 pm
da skizzo3000
mi dispiace ma tre è come fastweb ... è tutto nattato quindi no ip pubblico :(

Sk3

MessaggioInviato: lun gen 23, 2012 9:27 pm
da Tokka
In effetti questa cosa l'avevo già notata a suo tempo facendo degli esperimenti, e il fatto che il server fosse irraggiungibile dall'esterno senza configurazioni particolari ne era la conferma :(
Comunque per quello che sto realizzando non è un problema così grave O0
Quando avrò finito magari qualcuno che non ha 3 si potrà pure sbizzarrire ;D
Grazie Sk, prezioso come sempre ;)


[risolto]: anche se confermo il nat di 3 (che comunque leggendo sul web "dovrebbe" aver iniziato a fornire ip pubblici da novembre 2008....ma sorvoliamo...), l'esecuzione delle regole va effettuata creando un apposito file in /etc/ppp/ip-up.d, reso eseguibile tramite chmod +x, che verrà avviato al momento in cui viene stabilita la connessione.
Tnx Sk ;)