Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall Regole Nat

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
ttrittoni



Registrato: 26/09/19 10:46
Messaggi: 2

MessaggioInviato: Gio Ott 03, 2019 10:39 am    Oggetto: Firewall Regole Nat Rispondi citando

Buongiorno a Tutti.

Sto avendo un po di difficoltà ha fare in modo che il mio Zeroshell faccia in modo che la rete aziendale non venga vista dalla rete virtuale.

Dalla rete aziendale devono andare sulle macchine di progetto "Alle volte possono esserci progetti con la stessa rete quindi l'opzione che ho considerato è assegnare ad ogni progetto uno Zeroshell" tramite RDP che attualmente funziona, nella rete aziendale ho un NAS che deve essere visto dalle macchine virtuali (Funzionante se abilito il NAT).
Ma dalle macchine virtuali non devo vedere nulla sulla rete aziendale, chiaramente il NAS si.
Se si vede l'immagine bene se no c'è la configurazione.

Configurazione :
Zeroshell (GTWMGM)
ETH00: IP 10.10.10.123 (Rete Aziendale)
ETH01: IP 192.168.199.1 (Rete RDP)
ETH02: IP 192.168.169.1 (Rete VPN)** In attesa di configurazione.

Usando uno script ho impostato:
iptables -t nat -A PREROUTING -d 10.10.10.42 -i ETH00 -j DNAT --to-destination 192.168.199.200
iptables -t nat -A POSTROUTING -s 192.168.199.200 -o ETH00 -j SNAT --to-source 10.10.10.42
iptables -t nat -I PREROUTING -s 0.0.0.0/0 -p TCP --dport 14001 -j DNAT --to-dest 192.168.199.2:14001
iptables -t nat -I PREROUTING -s 0.0.0.0/0 -p TCP --dport 14002 -j DNAT --to-dest 192.168.199.2:14002


Zeroshell (GTW00)
ETH00: IP 192.168.199.2 (Rete RDP)
ETH01: IP 172.16.4.254 (Rete di progetto)

Usando uno script ho impostato:
iptables -t nat -A PREROUTING -d 192.168.199.200 -i ETH00 -j DNAT --to-destination 172.16.4.255
iptables -t nat -A POSTROUTING -s 172.16.4.255 -o ETH00 -j SNAT --to-source 192.168.199.200
iptables -t nat -I PREROUTING -s 0.0.0.0/0 -p TCP --dport 14001 -j DNAT --to-dest 172.16.4.1:3389
iptables -t nat -I PREROUTING -s 0.0.0.0/0 -p TCP --dport 14002 -j DNAT --to-dest 172.16.4.2:3389


Se non abilito il NAT sulla porta ETH00 funziona il RDP ma non il NAS. Ho provato anche a fare il Forward delle porte samba 139 e 445 ma niente.
Ho fatto le regole ti firewall come seguendo uno schema ma non è cambiato nulla. Usando il Chain: FORWARD

Firewall Rules
Input-->Output---Source IP (*)-->Destination IP----Allow/Deny
ETH00-->ETH01----ALL-------------192.168.199.2-----Allow
ETH00-->ETH01----ALL-------------192.168.199.3-----Allow
ETH00-->ETH01----ALL-------------192.168.199.4-----Allow
ETH00-->ETH01----ALL-------------192.168.199.5-----Allow
ETH00-->ETH01----10.10.10.42-----ALL---------------Allow
ETH00-->ETH01----ALL-------------ALL---------------Deny
ETH00-->ETH02----10.10.10.42-----ALL---------------Allow
ETH00-->ETH02----10.10.10.126----ALL---------------Allow
ETH00-->ETH02----10.10.10.124----ALL---------------Allow
ETH00-->ETH02----ALL-------------ALL---------------Deny
ETH01-->ETH00----192.168.199.2---ALL---------------Allow
ETH01-->ETH00----192.168.199.3---ALL---------------Allow
ETH01-->ETH00----192.168.199.4---ALL---------------Allow
ETH01-->ETH00----192.168.199.5---ALL---------------Allow
ETH01-->ETH00----ALL-------------10.10.10.42-------Allow
ETH01-->ETH00----ALL-------------ALL---------------Deny
ETH01-->ETH02----ALL-------------ALL---------------Allow
ETH02-->ETH00----ALL-------------10.10.10.42-------Allow
ETH02-->ETH00----ALL-------------10.10.10.126------Allow
ETH02-->ETH00----ALL-------------10.10.10.124------Allow
ETH02-->ETH00----ALL-------------ALL---------------Deny
ETH02-->ETH01----ALL-------------ALL---------------Allow

Mi riuscite a aiutare e farmi capire dove è l'ingippo?

Se dal GTWMGM il traffico della ETH00 deve solo andare su 3 destinazioni specifiche e basta cosa devo fare?

Grazie per l'aiuto a priori.

Tommaso
Top
Profilo Invia messaggio privato
ttrittoni



Registrato: 26/09/19 10:46
Messaggi: 2

MessaggioInviato: Gio Ott 03, 2019 12:11 pm    Oggetto: Firewall Regole Nat Rispondi citando

Ho appena provato a fare una regola specificando la porta ma niente adesso blocca tutto.

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- ETH00 ETH01 0.0.0.0/0 0.0.0.0/0 tcp spt:15021 dpt:15021
0 0 ACCEPT tcp -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0 tcp spt:15021 dpt:15021
5 260 DROP all -- ETH00 ETH01 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
6 296 DROP all -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 200

MessaggioInviato: Gio Ott 03, 2019 10:09 pm    Oggetto: Re: Firewall Regole Nat Rispondi citando

Ho provato a leggere ma mi è venuto il mal di testa.....

Non posso aiutarti con gli script perchè non li uso...

io:

1) natto le schede che devono essere nattate
2) uso i virtual server per far entrare da fuori quello che deve entrare e verso chi
3) con il firewall in drop su chain fw oltre a permettere All All per relate e estabilished

Permetto da e per la ETH in questione.
4) nella chain il pacchetto entra nella regola 1 e esce dall'ultima. se un drop viene prima di un permit la connessione non passa...

Per sommi capi....
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it