Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Come fare un NAT 1:1 ?

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Lun Lug 16, 2007 10:40 pm    Oggetto: Come fare un NAT 1:1 ? Rispondi citando

Ciao.
Ho configurato ETH00 sulla LAN e ETH01 sulla WAN con NAT enabled.
Su ETH01 ho definito due indirizzi IP pubblici e ho impostato un default gateway.

Es.
ETH00:
IP 192.168.0.1
MASK 255.255.255.0

ETH01:
IP 11.22.33.66
IP 11.22.33.67
MASK 255.255.255.240

DEFAULT GATEWAY 11.22.33.65 (router hdsl)

1) Dalla LAN posso uscire senza problemi.
2) Posso mappare un virtual server in modo che le richieste provenienti da Internet verso uno dei due IP pubblici con porta XXX vengano rediretti verso un host della LAN.

Due domande:
1) come posso mappare i virtual server separatamente a seconda dell'IP pubblico di destinazione?

2) è possibile mappare un NAT statico 1:1 in modo che tutto il traffico proveniente dalla WAN (ETH01) e diretto ad un IP pubblico venga dirottato verso un IP della LAN (ETH00) ?

Grazie
Massimo
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Mer Lug 18, 2007 9:53 am    Oggetto: Rispondi citando

Ho risolto aggiungendo questa linea nello script di Startup.

iptables -t nat -A PREROUTING -i ETH02 -d <IP_PUBBLICO> -j DNAT --to <IP_PRIVATO>

Sarebbe utile magari prevedere su Zeroshell una funzione tipo DMZ (su molti router casalinghi si chiama così) per poter mappare un NAT statico in questo modo.

Ciao
Massimo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Lug 18, 2007 8:55 pm    Oggetto: Rispondi citando

Penso che a breve bisognerà rimettere le mani nella sezione virtual server facendo in modo che sia possibile mappare oltre a singole porte TCP/UDP, anche interi host come ci suggerisci tu, range di porte utile per esempio nelle comunicazioni SIP e altri protocolli come per esempio il GRE per le le VPN pptp.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
brunol



Registrato: 03/10/10 14:42
Messaggi: 10
Residenza: MALO ( VI )

MessaggioInviato: Sab Ott 09, 2010 11:22 am    Oggetto: Rispondi citando

BigTrumpet ha scritto:
Ho risolto aggiungendo questa linea nello script di Startup.

iptables -t nat -A PREROUTING -i ETH02 -d <IP_PUBBLICO> -j DNAT --to <IP_PRIVATO>

Mi aggancio a questo messaggio in quanto ho realizzato la stessa soluzione
Non vedo pero' il mio server dai PC della rete

In poche parole i PC "escono" dal NAT ma non rientrano sul server

Mi dicono che ci vuole una regola aggiuntiva , ma nessuno me la dice

Tu come hai fatto ??

Grazie

Bruno Lancerotto
Top
Profilo Invia messaggio privato
atavachron



Registrato: 24/03/07 13:30
Messaggi: 61
Residenza: Catania

MessaggioInviato: Mar Ott 19, 2010 6:41 pm    Oggetto: Rispondi citando

brunol ha scritto:
BigTrumpet ha scritto:
Ho risolto aggiungendo questa linea nello script di Startup.

iptables -t nat -A PREROUTING -i ETH02 -d <IP_PUBBLICO> -j DNAT --to <IP_PRIVATO>

Mi aggancio a questo messaggio in quanto ho realizzato la stessa soluzione
Non vedo pero' il mio server dai PC della rete

In poche parole i PC "escono" dal NAT ma non rientrano sul server

Mi dicono che ci vuole una regola aggiuntiva , ma nessuno me la dice

Tu come hai fatto ??

Grazie

Bruno Lancerotto


Prova a dare un occhiata a questo !!

http://www.zeroshell.net/forum/viewtopic.php?p=4459
_________________
Munnu ha statu, je munnu resta.
Top
Profilo Invia messaggio privato
brunol



Registrato: 03/10/10 14:42
Messaggi: 10
Residenza: MALO ( VI )

MessaggioInviato: Mar Ott 19, 2010 7:23 pm    Oggetto: Rispondi citando

atavachron ha scritto:
Prova a dare un occhiata a questo !!
http://www.zeroshell.net/forum/viewtopic.php?p=4459

Ti ringrazio ma il mio problema non e' quello di far vedere i PC
Io un range di 16 IP pubblici di cui 13 utilizzabili
Sono tutti dei server ; in realta' sono degli apparecchi su IP locale che vengono visti sul corrispondente IP pubblico per servizi di teleassistenza
Per esempio Http://teleass.zadi.vi.it ti collega alla pagina di configurazione
Se io lo digito da Internet e' tutto OK
Se lo digito dalla rete locale vado in timeout
Siccome con un router Cisco la cosa funziona senza tante tiritere , non vedo come con Linux , S.O. di eccellenza per le reti non si possa fare
I guru fanno tante ipotesi ma uno che dica :"devi fare cosi'" nun se trova

Ti ringrazio della buona volonta' di scrivere ; mi pare che sul forum ci siano tante domande e poche risposte Sad

A rileggerTi

Bruno L.
Top
Profilo Invia messaggio privato
brunol



Registrato: 03/10/10 14:42
Messaggi: 10
Residenza: MALO ( VI )

MessaggioInviato: Sab Ott 23, 2010 4:21 pm    Oggetto: Rispondi citando

atavachron ha scritto:

Prova a dare un occhiata a questo !!
http://www.zeroshell.net/forum/viewtopic.php?p=4459

Alla fine siamo riusciti a sistemare in questo modo
C'e' il particolare che se contatto il server all'interno della rete questo mi vede con l'IP 1 del router
Allo stesso modo i server esterni vedono i PC della rete con l'IP pubblico del router
Con il Cisco pero' internamente alla rete i PC vengono visti con il loro IP reale ed all'esterno con l'IP pubblico del router
Ci tornero' sopra

Ad ogni modo per chiunque voglia una CFG come la mia di seguito posto l'elenco iptables usato

x.y.z.130 e' l'IP pubblico e 192.168.1 e' l'IP locale del router

# Translate incoming connections to the private server addresses
iptables -t nat -I PREROUTING 1 -d x.y.z.131 -j DNAT --to-destination 192.168.1.2
iptables -t nat -I PREROUTING 1 -d x.y.z.132 -j DNAT --to-destination 192.168.1.3
iptables -t nat -I PREROUTING 1 -d x.y.z.133 -j DNAT --to-destination 192.168.1.4
iptables -t nat -I PREROUTING 1 -d x.y.z.134 -j DNAT --to-destination 192.168.1.5
iptables -t nat -I PREROUTING 1 -d x.y.z.135 -j DNAT --to-destination 192.168.1.6
iptables -t nat -I PREROUTING 1 -d x.y.z.136 -j DNAT --to-destination 192.168.1.7
iptables -t nat -I PREROUTING 1 -d x.y.z.137 -j DNAT --to-destination 192.168.1.8
iptables -t nat -I PREROUTING 1 -d x.y.z.138 -j DNAT --to-destination 192.168.1.9
iptables -t nat -I PREROUTING 1 -d x.y.z.139 -j DNAT --to-destination 192.168.1.10
iptables -t nat -I PREROUTING 1 -d x.y.z.140 -j DNAT --to-destination 192.168.1.11
iptables -t nat -I PREROUTING 1 -d x.y.z.141 -j DNAT --to-destination 192.168.1.12
iptables -t nat -I PREROUTING 1 -d x.y.z.142 -j DNAT --to-destination 192.168.1.13

# Translate outgoing connections from the private server addresses
iptables -t nat -I POSTROUTING 1 -s 192.168.1.2 -j SNAT --to-source x.y.z.131
iptables -t nat -I POSTROUTING 1 -s 192.168.1.3 -j SNAT --to-source x.y.z.132
iptables -t nat -I POSTROUTING 1 -s 192.168.1.4 -j SNAT --to-source x.y.z.133
iptables -t nat -I POSTROUTING 1 -s 192.168.1.5 -j SNAT --to-source x.y.z.134
iptables -t nat -I POSTROUTING 1 -s 192.168.1.6 -j SNAT --to-source x.y.z.135
iptables -t nat -I POSTROUTING 1 -s 192.168.1.7 -j SNAT --to-source x.y.z.136
iptables -t nat -I POSTROUTING 1 -s 192.168.1.8 -j SNAT --to-source x.y.z.137
iptables -t nat -I POSTROUTING 1 -s 192.168.1.9 -j SNAT --to-source x.y.z.138
iptables -t nat -I POSTROUTING 1 -s 192.168.1.10 -j SNAT --to-source x.y.z.139
iptables -t nat -I POSTROUTING 1 -s 192.168.1.11 -j SNAT --to-source x.y.z.140
iptables -t nat -I POSTROUTING 1 -s 192.168.1.12 -j SNAT --to-source x.y.z.141
iptables -t nat -I POSTROUTING 1 -s 192.168.1.13 -j SNAT --to-source x.y.z.142

iptables -t nat -I POSTROUTING 1 -d 192.168.1.13 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.12 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.11 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.10 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.9 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.8 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.7 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.6 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.5 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.4 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.3 -j SNAT --to 192.168.1.1
iptables -t nat -I POSTROUTING 1 -d 192.168.1.2 -j SNAT --to 192.168.1.1

A buon rendere
Top
Profilo Invia messaggio privato
cyberman



Registrato: 01/02/08 18:57
Messaggi: 35

MessaggioInviato: Mar Nov 09, 2010 12:30 pm    Oggetto: Rispondi citando

Per brunol perché non fai un host nel dns che ti risolva l'iP del server con l'ip locale così non passi proprio dal router?
Poi quando i pc son fuori LAN allora il dnsp pubblico gli rilascia l'ip del router pubblico e tutto funge.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Ven Nov 12, 2010 9:16 am    Oggetto: Rispondi citando

Per risolvere del tutto il tuo problema occorrerebbe attivare una cosa che si chiama nat_loopback ma, sinceramente, non ho mai capito come implementarlo su iptables.

Per questo sugli apparecchi CISCO funziona, e anche sui firewall Zyxel...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it