ciao tutti
la mia nuova gentuzza si rifiuta di ubbidire alle regole di firewalling che le dico, o meglio gliele dico sbagliate
avete un suggerimentino?
questo è lo scriptino che mi sono fatto per settare il tutto:
i problemi sono principalmente questi:codice:# cat scripts/firewall.bash #!/bin/bash # set some variables INET_IFACE='eth1' LAN_IFACE='eth0' MY_INET_IP='10.24.1.2' # will SNAT LAN addresses to this PUB_IP='xxx.yyy.zzz.www' # my real INET address LAN_ADDR='192.168.0.0/24' LO_ADDR='127.0.0.0/8' ALLOWED_INET_SERVICES='80 21 25 110 6667' # allowed ports for outgoing tcp packets # flush all tables iptables -t filter -F iptables -t nat -F iptables -t mangle -F # set drop policy for ALL incoming and outgoing packets iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP # allow loopback connections iptables -t filter -A INPUT -i lo -s $LO_ADDR -d $LO_ADDR -j ACCEPT iptables -t filter -A OUTPUT -o lo -s $LO_ADDR -d $LO_ADDR -j ACCEPT # allow LAN connections iptables -t filter -A INPUT -i $LAN_IFACE -s $LAN_ADDR -d $LAN_ADDR -j ACCEPT iptables -t filter -A OUTPUT -o $LAN_IFACE -s $LAN_ADDR -d $LAN_ADDR -j ACCEPT # allow LAN hosts connections to some external services for PORT in $ALLOWED_INET_SERVICES ; do iptables -t filter -A INPUT -i $LAN_IFACE -s $LAN_ADDR -p tcp --dport $PORT -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport $PORT -j ACCEPT done # DNAT connections addressed to my public internet IP iptables -t nat -A PREROUTING -i $LAN_IFACE -s $LAN_ADDR -d $PUB_IP -j DNAT --to 192.168.0.1 iptables -t nat -A PREROUTING -i $INET_IFACE -s $MY_INET_IP -d $PUB_IP -j DNAT --to 192.168.0.1 # SNAT outgoing LAN connections iptables -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_ADDR -j SNAT --to $MY_INET_IP # tell the kernel we are done with NATting echo 1 > /proc/sys/net/ipv4/ip_forward for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
- non mi risolve i nomi (ad esempio se cerco di accedere a
google con links non trova l'indirizzo)
praticamente mi sa tanto che le connessioni non riescono ad uscire.. ma a me sembra di aver messo gli opportuni jump a ACCEPT..
a questo proposito, se la mia macchina tenta una connessione verso un indirizzo esterno, questa connessione (a parte il fatto che verrà SNATtata dopo nel POSTROUTING) nasce con indirizzo sorgente il mio indirizzo sull'interfaccia verso internet (nel mio caso 10.24.1.2) oppure con quello nella LAN (192.168.0.1)? io penso con quello "su internet".. però non si sa mai. è possibile, e se sì come, decidere che indirizzo usare? forse con route?
- non fa il DNAT come gli ho detto, siccome ho un problema dovuto al mio indirizzo su internet avrei bisogno di questa traduzione dell'indirizzo per riuscire a connettermi dall'interno
oppure
avevo pensato ad una cosa.. è forse possibile creare una seconda interfaccia virtuale? (come la 'lo' per intenderci)
siccome le eth sono numerate ho pensato che magari non è così irrealizzabile, però ifconfig giustamente non trova niente col nome di lo0, lo1, lo2.. esiste un modo per fare ciò o è del tutto impossibile?
questo mi risolverebbe un sacco di problemi.. ma se non si può amen
thx!