| static | ||
Permette di annunciare un servizio da una interfaccia più sicura ad una meno sicura, mascherando l'indirizzo di destinazione.
static ( from_device,to_device ) tcp to_ip to_port from_ip from_port static ( from_device,to_device ) udp to_ip to_port from_ip from_port static ( from_device,to_device ) ip to_ip to_prot_num from_ip from_prot_num | ||
| ambito di utilizzo | In configuration mode. | |
| sintassi | Concettualmente viene realizzata un remapping 1-1 dei servizi individuati dalla coppia (host,porta). Per chiarire il contesto pensiamo che il servizio che vogliamo pubblicare, attualmente in DMZ si voglia presentare in Internet con un nome congruente: in questo caso usiamo il comando static. [in fase di rilascio] Tecnicamente, oltre alle regole di natting, il plugin del comando controlla l'esistenza di to_ip sull'interfaccia to_device, diversamente lo aggiunge come un alias. Nel caso avessimo a che fare con una configurazione in HA allora il plugin aggiunge to_ip alla lista dei vip attivi su to_device. | |
| interface_name: | l'etichetta che identifica uno specifico device di rete. | |
|
from_device: to_device | le etichette che identificano, mantenedo l'esempio di prima, la DMZ ed Internet rispettivamente. Porre particolare attenzione alla grammatica che prevede una sola ,, senza spazi, tra le due etichette. Questo perchè tutto il termine deve essere visto dal parser dei comandi come una stringa alfanumerica sola che verrà disgiunta in seguito dentro al plugin associato al comando. | |
|
to_ip: from_ip | sono i termini con cui trasliamo l'indirizzo IP del servizio. Porre attenzione all'inversione di logica rispetto alle etichette dei device. | |
|
to_port: from_port | sono i termini con cui trasliamo le porte del servizio. Se il valore è 0 il plugin non rimapperà esplicitamente le porte. Porre attenzione all'inversione di logica rispetto alle etichette dei device. | |
|
to_prot_num: from_prot_num | per poter disporre anche della rimappatura per protocolli IP diversi dal tcp e dall'udp si è temporaneamente allestito il comando in cui si può specificare, in formato numerico, il protocollo oggetto del contendere. In un prossimo rilascio il comando static verrà arricchito e completato con una soluzione più elegante e flessibile. | |
| esempi |
rendiamo visibile il server di posta in Internet
liscoUno0(config)# static ( dmz,acantho ) tcp 213.174.191.204 25 192.168.1.2 25 /tmp/mcs.dump.25409176 ../plugin/static.set dmz,acantho tcp 213.174.191.204 25 192.168.1.2 25 \\ /tmp/mcs.dump.25409176 iptables -t nat -I PREROUTING -i acantho -d 213.174.191.204 -p tcp \\ --dport 25 -j DNAT --to-destination 192.168.1.2:25ora invece, rendiamo visibile il server 192.168.1.1 su Internet per il protocollo udp su tutte le porte liscoUno0(config)# static ( dmz,acantho ) udp 213.174.191.203 0 192.168.1.1 0 /tmp/mcs.dump.25409285 ../plugin/static.set dmz,acantho udp 213.174.191.203 0 192.168.1.1 0 \\ /tmp/mcs.dump.25409285 iptables -t nat -I PREROUTING -i acantho -d 213.174.191.203 -p udp -j DNAT \\ --to-destination 192.168.1.1infine pubblichiamo il server che abbiamo configurato come terminatore dei tunnel pptp per il protocollo gre (protocol number=47) liscoUno0(config)# static ( dmz,acantho ) ip 213.174.191.202 47 192.168.1.11 47 /tmp/mcs.dump.25409986 ../plugin/static.set dmz,acantho ip 213.174.191.202 47 192.168.1.11 47 \\ /tmp/mcs.dump.25409986 iptables -t nat -I PREROUTING -i acantho -d 213.174.191.202 -p 47 -j DNAT \\ --to-destination 192.168.1.11 | |