rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:net:source_routing

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
doc:appunti:net:source_routing [2015/03/13 11:11] – [Firewall dual homed e source routing con Shorewall] niccolodoc:appunti:net:source_routing [2021/10/13 18:03] – [Firewall dual homed e source routing con Shorewall] niccolo
Line 65: Line 65:
 </code> </code>
  
 +Attenzione alla **priorità delle regole** (rules)! Il numero più basso ha priorità maggiore, se non viene indicato il parametro **''priority''** nel comando **''ip rule add''** viene assegnato automaticamente un numero decrescente a partire da **32767** (unsigned int). Secondo questa priorità automatica quindi **la regola inserita per ultima ha priorità maggiore**.
 ====== Source IP con ip route ====== ====== Source IP con ip route ======
  
Line 144: Line 145:
 ====== Firewall dual homed e source routing con Shorewall ====== ====== Firewall dual homed e source routing con Shorewall ======
  
-**Esempio**: collegamento a internet con due interfacce, **eth0** ADSL e **eth2** (94.94.64.138, HDSL). La rotta predefinita è su eth0, parte del traffico viene dirottato su eth2 tramite regole di ''iptables''.+**Esempio**: collegamento a internet con due interfacce, **eth0** (217.58.174.226, ADSLe **eth2** (94.94.64.138, HDSL). La rotta predefinita è su eth0, parte del traffico viene dirottato su eth2 tramite regole di ''iptables''. La **LAN** 10.22.20.0/24 è collegata su **eth1**.
  
 Queste le accortezze da utilizzare: Queste le accortezze da utilizzare:
  
   * In **''/etc/shorewall/interfaces''** si indicano le due interfacce collegate alla zona **net**.   * In **''/etc/shorewall/interfaces''** si indicano le due interfacce collegate alla zona **net**.
-  * In **''/etc/shorewall/shorewall.conf''** si imposta **''ROUTE_FILTER=No''**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//. +  * In **''/etc/shorewall/shorewall.conf''** si imposta **ROUTE_FILTER=No**, altrimenti il traffico in uscita dalla eth2 viene filtrato come //martian source//. 
-  * Per lo stesso motivo di cui sopra **non** si deve mettere l'opzione **''routefilter''** in **''/etc/shorewall/interfaces''**.+  * In **''/etc/shorewall/interfaces''** **NON** ci deve essere l'opzione **routefilter=1** (misura anti-spoofing), per lo stesso motivo di cui sopra**ATTENZIONE**: Se in ''shorewall.conf'' c'è l'opzione ''ROUTE_FILTER=Yes'', impostare qui ''routefilter=0'' non è sufficiente. 
 +  In **''/etc/shorewall/interfaces''** l'opzione **sourceroute=0** (non accetta pacchetti source routed dall'interfaccia) è importante? FIXME
  
 **''/etc/iproute2/rt_tables''** **''/etc/iproute2/rt_tables''**
Line 179: Line 181:
 </file> </file>
  
-**''/etc/shorewall/masq''**+**''/etc/shorewall/snat''** (per il nuovo Shorewall v.5) 
 + 
 +<file> 
 +SNAT(217.58.174.226)    192.168.1.0/24   eth0    # LAN to internet via HDSL 
 +SNAT(94.94.64.138)      192.168.1.0/24   eth2    # LAN to internet via ADSL 
 +</file> 
 + 
 +**''/etc/shorewall/masq''** (per il vecchio Shorewall v.4)
  
 <file> <file>
Line 185: Line 194:
 eth2    10.22.20.0/24       # LAN to internet via ADSL eth2    10.22.20.0/24       # LAN to internet via ADSL
 </file> </file>
- 
  
 **''/etc/shorewall/start''** **''/etc/shorewall/start''**
  
 <file> <file>
-# Packets source-routed via eth2 must use eth2 source address. +# Packets source-routed via eth2 must use eth2 source address, 
-Otherwise source address for default gateway is used.+otherwise source address for default gateway is used.
 iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 94.94.64.138 iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 94.94.64.138
  
doc/appunti/net/source_routing.txt · Last modified: 2021/10/13 18:03 by niccolo