[Hackmeeting] redirect ed eventuali

Supprimer ce message

Répondre à ce message
Auteur: Massimiliano Leone
Date:  
À: LUGargano, linuxingegneria-subscribe, hackmeeting
Sujet: [Hackmeeting] redirect ed eventuali

problema 1:
k0smik0@linux:~$ host -a ip-125-215.adsl.cheapnet.it
Trying "ip-125-215.adsl.cheapnet.it"
[...]
;; ANSWER SECTION:
ip-125-215.adsl.cheapnet.it. 775 IN     A       80.67.124.215      <--------- 
ip-125-215.adsl.cheapnet.it. 775 IN     A       80.67.125.215      <---------


;; AUTHORITY SECTION:
cheapnet.it.            775     IN      NS      ns.cwnet.it.
cheapnet.it.            775     IN      NS      ns2.cwnet.it.



com'è che risolve due ip da quell'host ?

nella fattispecie... l'host in questione è quello che tutte le genti vedono
quando sono su irc...
19:49 [IRCnet] -!- k0sm|k0 [~k0smik0@???

sicche il mio ip pubblico risulta essere 80.67.124.215 (e invece è
80.67.125.215)

Problema 2:
è con un port-forwarding, ovvero:
premesso che la porta è ben forwardata dal router (debian-sparc) come si
legge dalla seguente:

[root@purplemoon k0smik0]$ iptables -t nat -n -v -L
[...]
0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0 tcp 
dpt:30022 to:192.168.0.3:22
[...]


perchè se lancio ssh 80.67.125.215 -p 30022 da un client interno alla nat
(192.168.0.3) non riesco ad entrare, e se invece
do lo stesso comando da un host esterno (137.204.qualcosa.qualcos'altro) il
forward funziona ?

... non vorrei che dipendesse dal problema del resolv di cui sopra...

riporto anche il seguente:

cat /proc/sys/net/ipv4/conf/all/accept_source_route
1

..si lo so che dovrebbe essere a 0 per prevenire connessioni esterne con ip
spoofati ... ma io voglio cosi.

Per completezza:
il server/gateway/router(/firewall) binda su 2 interfacce:
la eth0 verso la lan 192.168.0.0/24
la eth1 che ha l'ip pubblico, tramite dhcp spoofing da un alcatel speed touch
(che si aggancia in pppoa all'adsl)


per completezza #2:
ho anche provato a fare un snat con la seguente
iptables -t nat -I POSTROUTING -o eth0 -p tcp -m tcp -m multiport --sports     
30022,22 -j SNAT --to-source 192.168.0.1
(da un suggerimento, anche se io avrei mappato solo la porta 30022)
da cui:
SNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp multiport
sports 30022,22 to:192.168.0.1


...niente...


saluti e baci :D
--
"...all'umanità bisogna essere superiori per forza,
per nobiltà d'animo, per disprezzo."

        dalla prefazione autografa de "L'Anticristo",
        Friedrich Wilhelm Nietzsche,  1888