Il 01 febbraio 2012 12:00, mailing - effem <mailing@xxxxxxxxxxxxx> ha scritto: > > Se si imposta la colonna ADDRESS di tale file, si richiede a shorewall > di utilizzare il metodo SNAT di netfilter andando proprio a specificare > uno (o più in round-robin) nella creazione della regola. > > Mentre, non andando a specificare tale colonna, viene utilizzato > MASQUERADE per impostare la regola di mascheramento dell'indirizzo > sorgente. > Ho riletto più volte quanto hai scritto, ma non sono riuscito a capire bene la tua spiegazione :-| ... forse devo ancora recuperare le ore di sonno :-P Ho riletto il manuale di shorewall-masq e provo a spiegare la cosa (come l'ho capita io). Questo l'esempio che abbiamo usato ieri sera: INTERFACE SOURCE ADDRESS eth1 eth0 INDIRIZZOIP dove: eth1 è la scheda di rete connessa al mondo internet eth0 è la scheda di rete connessa alla lan locale INDIRIZZOIP è un indirizzo IP pubblico con cui tutte le richieste provenienti dalla rete locale si presenteranno al mondo internet Il dubbio che sorge è: INDIRIZZOIP serve o non serve ? .... dipende. Di seguito riporto due esempi (_non_ sono gli unici casi possibili) Caso 1 - siamo connessi a internet e abbiamo un solo indirizzo ip pubblico - la scheda eth1 ha l'indirizzo ip pubblico (es. perchè lo "scatolotto" che ci collega a internet fa da bridge) - in questo caso INDIRIZZOIP può essere omesso in quanto verrà utilizzato quello impostato per la scheda eth1 Caso 1 - siamo connessi a internet e siamo in possesso di N indirizzi ip pubblici - vogliamo fare in modo che tutte le richieste in uscita verso internet vengano mascherate con uno specifico indirizzo ip - in questo caso INDIRIZZOIP deve essere specificato e l'indirizzo sarà l'ip pubblico con cui ci vogliamo presentare Come vi accennavo ieri sera: - in passato utilizzavo DNAT e SNAT... e la cosa, mentalmente, mi complicava le cose - utilizzo DNAT per nattare il traffico proveniente da Internet verso le mie macchine locali (tramite il file rules) - maschero l'ip in uscita tramite (tramite il file masq) per presentarmi ai server presenti in Internet con uno degli indirizzi ip pubblici che mi sono stati forniti dal provider - ho rimosso completamente SNAT.... e dormo sonni tranquilli :-) -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx