Non-nat rule in IP Tables

[shodan]

Ciao a tutti,

apro questo thread per fare una domanda forse poco comune.
Vorrei sapere se esiste un target di IP Tables che permette semplicemente di uscire dalla catena di NAT - POSTROUTING senza alterare il pacchetto.
Per capirci meglio vi faccio un esempio...
Immaginiate che io abbia una regola di questo tipo:
iptables -t NAT -A POSTROUTING -j SNAT -s 0.0.0.0/0 -d 0.0.0.0/0 --to-source 67.43.74.11
in questo modo tutti i pacchetti in uscita verranno (giustamente) nattati.
Se io però volessi fare in modo che i pacchetti verso un specificare rete, mettiamo la rete 10.0.0.0/0 non fossero nattati e passassero tramite routing classico come dovrei fare?
Ho immaginato che il sistema più sbrigativo fosse quello di impostare una regola nella tabella NAT - POSTROUTING _prima_ della regola sopra esposta utilizzando un target nullo, che in pratica non faccia altro che uscire dalla catena (quindi senza "beccare" la regola successiva che natta il pacchetto). E' corretta come idea? Esiste un target nullo che si adatti al mio scopo o lo devo scrivere (in rete ho cercato ma non ho trovato nulla, per lo meno tra i target predefiniti)?

Ciao grazie!

[ilsensine]

-j ACCEPT

[LimiT-MaTz]

Codice:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

+ o meno stesso problema.
sulla macchina in questione ho 3 eth.
eth0 : internet
eth1 : sottorete con DHCP(192.168.1.0/255) (in cui fowardo tutto cio' che mi arriva alla eth0)
eth2 : rete locale (di un'altra area) ip: 192.168.0.0/255

a questo punto mi chiedevo se potevo offrire alla sottorete (192.168.1.0/255) un routing verso l'altra sottorete (192.168.0.0/255).
Per fare questo avevo pensato di controllare il destination dei pacchetti in modo da reindirizzare quelli con destination (192.168.0.0/255) all'interfaccia di rete eth2.

In modo che i client della sottorete (192.168.1.0/255) potessero accedere anche ai servizi sia (internet) eth0 sia dell'altra sottorete.

mi aiutate? grazie

[PiloZ]

eth1 e eth2 hanno lo stesso ip?
a ecco

[HexDEF6]

Quote:

Originariamente inviato da LimiT-MaTz

Codice:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

+ o meno stesso problema.
sulla macchina in questione ho 3 eth.
eth0 : internet
eth1 : sottorete con DHCP(192.168.1.0/255) (in cui fowardo tutto cio' che mi arriva alla eth0)
eth2 : rete locale (di un'altra area) ip: 192.168.0.0/255

a questo punto mi chiedevo se potevo offrire alla sottorete (192.168.1.0/255) un routing verso l'altra sottorete (192.168.0.0/255).
Per fare questo avevo pensato di controllare il destination dei pacchetti in modo da reindirizzare quelli con destination (192.168.0.0/255) all'interfaccia di rete eth2.

In modo che i client della sottorete (192.168.1.0/255) potessero accedere anche ai servizi sia (internet) eth0 sia dell'altra sottorete.

mi aiutate? grazie

non so se ho capito bene il problema...
ma non ti basta una route?.. anzi in teoria non dovresti fare un bel niente e dovrebbe essere tutto a posto (prova a postare cosa dice route)
visto che i soli pacchetti che verranno cambiati (l'ip sorgente) saranno solo quelli che escono da eth0.. ma se devi andare da eth1 a eth2 (o viceversa) non devi fare robe strane!

[HexDEF6]

Quote:

Originariamente inviato da shodan

Ciao a tutti,

Immaginiate che io abbia una regola di questo tipo:
iptables -t NAT -A POSTROUTING -j SNAT -s 0.0.0.0/0 -d 0.0.0.0/0 --to-source 67.43.74.11
in questo modo tutti i pacchetti in uscita verranno (giustamente) nattati.
Se io però volessi fare in modo che i pacchetti verso un specificare rete, mettiamo la rete 10.0.0.0/0 non fossero nattati e passassero tramite routing classico come dovrei fare?

dovrebbe bastare questo:
iptables -t NAT -A POSTROUTING -j SNAT -s 0.0.0.0/0 -d 0.0.0.0/0 -o eth0--to-source 67.43.74.11

o sbaglio?

[shodan]

Quote:

Originariamente inviato da ilsensine

-j ACCEPT

Ehm... lo sai che non ci ho pensato?
A volte le cose semplici si scartano subito...

Ciao grazie.