Autore Topic: nat iptables  (Letto 13140 volte)

napster363

  • Visitatore
nat iptables
« il: 13 Novembre 2019, 21:28:29 »
Buonasera a tutti,

avrei bisogno di una mano per configurare iptables su una macchina centos 7 affinchè nattasse gli indirizzi ip.
Mi spiego meglio.

Nell'azienda informatica per cui lavoro, la connessione a internet avviene tramite un proxy.
Molte volte gli indirizzi ip dell'azienda 192.168.0.x, passando dal proxy, hanno problemi di connessione vpn ai clienti, sincronizzazione file gdrive-dropbox, connessioni a server fp, ecc.. , per evitare ogni volta di incontrare questi problemi, il reparto IT dell'azienda ha pensato di installare un server centos, dargli un indirizzo ip che esca diretto su internet senza limitazioni di proxy, abilitare l'ip forwarding sul server e nattare gli indirizzi ip che hanno problemi.

Esempio:

ip server centos: 192.168.0.10
client che passa dal proxy: 192.168.0.11 con gw 192.168.0.5

Questo client per evitare il proxy, ed uscire diretto su internet dovrà mettersi come gw sul suo pc non più 192.168.0.5 ma bensì 192.168.0.10 ma dovrà uscire nattato.

Come faccio questo tramite iptables?
Grazie mille.

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re:nat iptables
« Risposta #1 il: 14 Novembre 2019, 15:12:08 »
Sinceramente non capisco la necessità di un server per queste attività, comunque sono scelte "personali".

In Centos 7 di default si usa firewalld e non iptables, a meno che qualcuno non abbia specificatamente configurato in modo diverso; quindi prima di dare indicazioni  che poi risultino inutili è meglio se ti accerti della cosa.

napster363

  • Visitatore
Re:nat iptables
« Risposta #2 il: 14 Novembre 2019, 15:14:18 »
confermo iptables
Hai un idea di come fare questa cosa?

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re:nat iptables
« Risposta #3 il: 15 Novembre 2019, 09:51:20 »
Abilitare l'inoltro dei pacchetti IPV4 in /etc/sysctl.conf:
net.ipv4.ip_forward = 1

Aggiungere la regola in /etc/systemconfig/iptables:
iptables -A FORWARD -i XXXXX -o YYYYY -p tcp -m tcp -m state --state NEW -j ACCEPT

XXXXX = NIC 192.168.0.10
YYYYY = NIC IP pubblico in uscita

E poi sempre in /etc/systemconfig/iptables dopo il filtro, la parte di "natting":
*nat
:PREROUTING ACCEPT [4:272]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i XXXXX -p tcp -m tcp -j DNAT
-A POSTROUTING -o XXXXX -j MASQUERADE
-A POSTROUTING -d 192.168.0.0/24 -j MASQUERADE
COMMIT

Dovrebbe funzionare correttamente, non ho mai avuto necessità di fare queste cose con un server quando mi capita uso a.e. pfsense che è specifico per crearsi un firewall/proxy.