From daneel.olivaw.r a gmail.com Thu Jun 23 13:56:05 2022 From: daneel.olivaw.r a gmail.com (Daneel Olivaw) Date: Thu, 23 Jun 2022 13:56:05 +0200 Subject: [MontelLUG] Iptables, devuan e NAT tra due reti Message-ID: Buongiorno lista. Spolveriamo in server con una richiesta di aiuto su iptable e nat tra due reti :-) Caso: - server Devuan a cavallo tra 2 reti, fa da fileserver con Samba - rete 1 su eth0 (10.200.x.x) con blocchi su molte cose, tra cui il servizio ntp - rete 2 su eth1 (192.168.x.x) più libera, i server ntp mondiali sono raggiungibili - il server in questione è su Proxmox e non può fare da ntp server perché... troppa instabilità sulle cose che servono (comunque l'ora è sempre corretta) - non posso aggiungere un ulteriore server sulla rete 1 Detto ciò, l'unica soluzione è di usare il server dati per reindirizzare le richieste ntp dalle macchine nella rete 1 ad un server ntp sulla rete 2, per cui via di NAT. Ho seguito alcune guide, ma evidentemente mi sfugge qualcosa... ecco cosa ho fatto finora: - abilitato l'IP Forwarding (# echo 1 > /proc/sys/net/ipv4/ip_forward) - aggiunto a iptables questa regola: iptables -t nat -A PREROUTING -i eth0 -p udp -d [IP del server dati sulla rete 1] --dport 123 -j DNAT --to-destination [IP del server ntp sulla rete 2]:123 - poi: iptables -t filter -P FORWARD ACCEPT Quindi ora ho: - iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT udp -- anywhere [IP server dati] udp dpt:ntp to:[IP server ntp]:123 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Ma non va... cosa mi sta sfuggendo? Daneel Olivaw -- "Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza" - Benjamin Franklin -- Il messaggio e' stato analizzato alla ricerca di virus o contenuti pericolosi da MailScanner, ed e' risultato non infetto. From daneel.olivaw.r a gmail.com Thu Jun 23 15:00:37 2022 From: daneel.olivaw.r a gmail.com (Daneel Olivaw) Date: Thu, 23 Jun 2022 15:00:37 +0200 Subject: [MontelLUG] Iptables, devuan e NAT tra due reti In-Reply-To: References: Message-ID: Il giorno gio 23 giu 2022 alle ore 13:56 Daneel Olivaw ha scritto: > > Buongiorno lista. > > Spolveriamo in server con una richiesta di aiuto su iptable e nat tra > due reti :-) > > Caso: > [...] > > Ma non va... cosa mi sta sfuggendo? > Trovato: non va il "FORWARD ACCEPT", ma il "MASQUERADE" sul POSTROUTING. Per la cronaca, ecco le regole: iptables -t nat -A PREROUTING -i eth0 -p udp --dport 123 -j DNAT --to-destination [IP server ntp]:123 iptables -t nat -A POSTROUTING -j MASQUERADE Se c'è qualcosa da migliorare, sentitevi liberi di suggerire :-) Daneel Olivaw -- "Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza" - Benjamin Franklin -- Il messaggio e' stato analizzato alla ricerca di virus o contenuti pericolosi da MailScanner, ed e' risultato non infetto.