[Lugge] NAT & share di windows 2000

  • From: Giorgio Andreoletti <giorgio.andreoletti@xxxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Wed, 29 Jun 2005 12:44:41 +0200

ciao a tutti,
ho un problema con un mio fidato firewall linuzzo che non riesco a risolvere e forse qualcuno sa darmi una mano:


quello che in sostanza devo riuscire a fare è poter vedere (attraverso internet) le unità condivise di un server windozzo 2k, da un client windows (tramite il classico \\indirizzo_ip)

la rete è un poco più incasinata del solito: nell'ordine, dal server al client, incontro


server win2000 (eh lo so, posso solo dire che non l'ho installato io!): 10.0.0.243
firewall linux (sk LAN): 10.0.0.202
firewall linux (sk WAN): 192.168.0.2 - 8 (con alias sulla stessa sk)
router del provider (sk WAN): 192.168.0.1
router del provider (sk INTERNET): xxx.xxx.xxx.209-215


quella che chiamo "WAN" in realtà è una rete privata tra il firewall linuzzo e il router dell' ISP

l' ISP mi da 7 ip pubblici, e il router del provider fa un nat statico dei 7 ip pubblici su altrettanti ip di classe privata (192.168.0.2-8), e voglio pubblicare per intero su internet il mio server (limitando ovviamente l'accesso al solo IP pubblico 123.123.123.123). Il NAT statico è quello che fa al caso mio, credo.

il firewall è una slack, installata con tanto amore, che va che è una meraviglia, dove per semplicità di debug ho tolto tutte le regole di firewall tranne quelle indispensabili.

# Generated by iptables-save v1.2.2 on Fri Jun 24 02:47:20 2005
*filter
:INPUT ACCEPT [7083:1077342]
:FORWARD ACCEPT [711:198258]
:OUTPUT ACCEPT [9060:1100947]
COMMIT
# Completed on Fri Jun 24 02:47:20 2005
# Generated by iptables-save v1.2.2 on Fri Jun 24 02:47:20 2005
*nat
:PREROUTING ACCEPT [309:48182]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [819:30930]
-A PREROUTING -d 192.168.0.5 -s 123.123.123.123 -j DNAT --to-destination 10.0.0.243
-A POSTROUTING -s 10.0.0.243 -j SNAT --to-source 192.168.0.5
-A POSTROUTING -d 10.0.0.0/255.255.255.0 -j ACCEPT
-A POSTROUTING -j SNAT --to-source 192.168.0.2
COMMIT
# Completed on Fri Jun 24 02:47:20 2005


le prime due regole della tabella NAT servono per pubblicare il mio server online, le altre due per far navigare su internet il resto della rete; in particolare la terza regola evita che il SNAT dell'ultima riga sia applicato alla rete 10.0.0.0/24

ogni cosa sembra apposto, riesco a collegarmi da internet su qualunque porta TCP e UDP, e il portscan con nmap fatto dall'interno della LAN dà un risultato identico a quello eseguito dal mio client attraverso internet (ovviamente ho fatto sia lo scan TCP che quello UDP). Ho anche verificato che il sever, quando naviga su internet, esce con l' ip pubblico che mi aspetto e non con quello usato dal resto della LAN (associato a 192.168.0.2)

allora perchè se metto \\indirizzo_ip_pubblico non vedo le condivisioni di rete del server ? la connessione va in time-out come se l'ip non esistesse, eppure facendo un po' di prove sul firewall vedo passare del traffico UDP diretto al server win2k ...

dove sto sbagliando ? ci sto uscendo di testa....

plz help ! :-)

grazie
Giorgio





--
No virus found in this outgoing message.
Checked by AVG Anti-Virus.
Version: 7.0.323 / Virus Database: 267.8.6/33 - Release Date: 28/06/2005

========----------

Archivio delle e-mail postate in lista http://www.freelists.org/archives/lugge/

Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/index.php?mod=cosa_facciamo/gruppo_di_discussione
Modifica dell'account sulla lista LUGGe http://www.lugge.net/index.php?mod=cosa_facciamo/gruppo_di_discussione#list



Other related posts:

  • » [Lugge] NAT & share di windows 2000