Redirezione del traffico su un host interno
Jump to navigation
Jump to search
Altrimenti detta NAT REFLECTION
Situazione:
+--------+192.168.253.253 #####
|Firewall| +------+ ## ##
| Linux |_________________|Router|_________#Internet#
+----|---+ 192.168.253.254+------+ 1.2.3.4 ## ##
| #####
|192.168.254.254
|
|
___________________________
| |
| |
|192.168.254.100 |192.168.254.18
+|----------+ +|-----+
|Mail Server| |Client|
+-----------+ +------+
fire.domain.tld=1.2.3.4
Se si vuole accedere dal client in ssh al firewall usando 'ssh fire.domain.tld':
$IPT -t nat -A PREROUTING -s 192.168.254.0/24 --dst 1.2.3.4 \
-p tcp --dport 22 -j DNAT \
--to-destination 192.168.254.254:22
# tutto ciò che entra nel firewall destinato all'ip pubblico del router porta
# 22 viene girato al fw stesso.
Se si vuole accedere dal client Lan al Mailserver usando 'telnet fire.domain.tld 25'
$IPT -t nat -A PREROUTING -s 192.168.254.0/24 --dst 1.2.3.4 \
-p tcp --dport 25 -j DNAT \
--to-destination 192.168.254.100:25
# tutto ciò che entra nel firewall destinato all'ip pubblico del router porta 25
# viene girato al mailserver interno.
$IPT -t nat -A POSTROUTING -s 192.168.254.0/24 -d 192.168.254.100 \
-p tcp --dport 25 -j SNAT --to-source 192.168.254.254
# tutto ciò che arriva nel router destinato al mailserver viene marcato come
# proveniente dal firewall, per "imbrogliare la risposta dal mailserver al client"
E' la seconda regola che è importante.
Vedi http://www.skullkrusher.net/linux/iptables.html Caso 4.