iptables e SNAT..... non capisco dove sbaglio

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

iptables e SNAT..... non capisco dove sbaglio

Messaggioda novainvicta » lunedì 9 aprile 2018, 17:42

Ciao ragazzi,
vorrei fare un router con iptables, ma da qualche parte sbaglio e non so dove
ho letto tutte le guide, ma mi sa che mi sto perdendo in un bicchiere d'acqua

l'interfaccia WAN è 192.168.0.21/255.255.255.0
(un router dell tre usb con la SIM dentro che fa finta di essere una scheda di rete usb e faccio il ping correttamente a google)

l'interfaccia LAN è suddivisa con sotto schede di rete
(il classico eth0, poi eth0:0, eth0:1 oppure usando i nuovi nomi eno1, eno1:0) etc...
ma non cambia nulla visto che setto iptables per lavore con gli indirizzi IP e finita lì
e l'indirizzo su cui vorrei condividere la connessione è 10.0.0.6/255.0.0.0

funziona tutto bene, l'apertura delle porte per i demoni in ascolto, l'uscita (cioe' dal router riesco a navigare)
ma sui client nella rete LAN che hanno come gateway il router (10.0.0.6) non riescono a navigare (ma il router è raggiungibile via ping)

senza nemmeno scomodare lo SNAT provo un banale NAT
Codice: Seleziona tutto
iptables -t nat -A POSTROUTING -d 192.168.0.21 -s 10.0.0.0/8
iptables -t filter -P FORWARD ACCEPT

certo è che mi piacrebbe riuscire con lo SNAT e ho provato la seguente riga
iptables -t nat -A POSTROUTING -d 10.0.0.0/8 -j SNAT --to 192.168.0.21
(presa da http://guide.debianizzati.org/index.php ... n_iptables)

la versione completa
Codice: Seleziona tutto
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -A INPUT -j LOG --log-prefix='[FW]'
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d 192.168.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.0.21 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.21 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d 192.168.0.21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d 10.0.0.6 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.0.0.6 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.0.0.6 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d 10.0.0.6 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -d 192.168.0.21 -s 10.0.0.0/8
iptables -t filter -P FORWARD ACCEPT

iptables -t nat -A PREROUTING -s 10.0.0.6 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d 10.0.0.23 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.0.0.23 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.0.0.23 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d 10.0.0.23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 1313 -d 10.0.0.23 -j ACCEPT
iptables -A INPUT -p udp --dport 1313 -d 10.0.0.23 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d 10.0.0.3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.0.0.3 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.0.0.3 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d 10.0.0.3 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 10433 -d 10.0.0.3 -j ACCEPT
iptables -A INPUT -p udp --dport 10433 -d 10.0.0.3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -d 10.0.0.3 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -d 10.0.0.3 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT
iptables -A INPUT -p udp --dport 68 -j ACCEPT
iptables -A INPUT -p tcp --dport 7000 -d 10.0.0.6 -j ACCEPT
iptables -A INPUT -p udp --dport 7000 -d 10.0.0.6 -j ACCEPT
...apro altre porte


ho esaurito le idee, mi date una mano?
novainvicta
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 811
Iscrizione: ottobre 2007

Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 5 ospiti