Help iptables

**simonez79** · 27-08-2004, 12:33

Ciao a tutti,
ho un piccolo problema con iptables,la configurazione della rete è la seguente:
PC------SERVER LINUX(gateway,proxy,dns ecc.)-------ROUTER
ip del PC: 192.168.1.22
ip del server: 192.168.1.11
ip del router: 192.168.1.1

Il server Linux fa anche da gateway (ha un unica interfaccia di rete) e quello che non riesco a fare con iptables è bloccare in uscita le connessioni FTP o TELNET o SMTP che partono dal PC dirette verso internet. Ho effettuato diverse prove, per esempio:

1)
iptables -A INPUT -i eth0 -s 192.168.1.22 -p tcp --dport 21 -j DROP
(per bloccare tutti i pacchetti provenienti dall'ip del PC e destinati alla porta FTP). Con questa regola il PC non si collega più in FTP sul server, ma verso internet si e senza problemi.

2)
iptables -A FORWARD -s 192.168.1.22 -p tcp --dport 21 -j DROP
Non fa nulla...

3)
iptables -A OUTPUT -s 192.168.1.22 -p tcp --dport 21 -j DROP
Non fa nulla...

Qualche consiglio???

**MarKK** · 27-08-2004, 13:01

la terza non va bene...

per la seconda prova

iptables -A FORWARD -s 192.168.1.22 -p tcp --dport 21:25 -j DROP

cmq avrebbe dovuto bloccare lo stesso l'FTP in uscita
controlla che sia la prima inserita nella catena di FORWARD

**zerocue** · 27-08-2004, 13:08

ciao prima di tutto di bloccare tutto il traffico in uscita :

iptables -t filter -P OUTPUT DROP

dopo di che abiliti le porte che vuoi far uscire:

iptables -t filter -A OUTPUT -p tcp --sport 80 -j ACCEPT

Ciao ....

**MarKK** · 27-08-2004, 13:15

Originariamente inviato da zerocue
ciao prima di tutto di bloccare tutto il traffico in uscita :

iptables -t filter -P OUTPUT DROP

dopo di che abiliti le porte che vuoi far uscire:

iptables -t filter -A OUTPUT -p tcp --sport 80 -j ACCEPT

Ciao ....

Gurda che le connessioni che deve bloccare sono quelle che partono dal pc

**Sym81** · 27-08-2004, 13:52

Non capisco l'utilità del gw se router, client e gw sono sulla stessa rete :master:

**simonez79** · 27-08-2004, 16:12

Può sembrare strano, ma ho le mie ragioni x utilizzare linux come gateway anziché il router stesso.

**Sym81** · 27-08-2004, 16:17

Originariamente inviato da simonez79
Può sembrare strano, ma ho le mie ragioni x utilizzare linux come gateway anziché il router stesso.

Ok, ma è il fatto che stiano sulla stessa rete che non mi torna.

**simonez79** · 30-08-2004, 09:25

In pratica ho bisogno da remoto di abilitare/disabilitare alcuni servizi (http, pop3, ftp, ecc) sui client della rete tramite degli script che ho creato che oltre ad eseguire iptables mi scrivono su un database chi e quando è stato abilitato/disabilitato.
Ora svelato il mistero del perché utilizzo linux come gateway anziché il router stesso sapresti aiutarmi?

**simonez79** · 30-08-2004, 09:35

(In risposta a MarKK):
1) Questa regola mi permette comunque, utilizzando linux come gateway, di uscire dal client in ftp (come anche in ssh):
iptables -A FORWARD -s 192.168.1.22 -p tcp --dport 21:25 -j DROP

2) Non posso bloccare tutto l'OUTPUT in quanto dovrei poi perdere la vita a dare tutte le regole per i servizi che sono attivi sul server e che richiedono connessioni verso l'esterno (es DNS, SMTP, PROXY ecc. ecc.), tra l'altro dietro al router c'è già un firewall Fortinet che fa anche da antivirus e antispam.

**Num** · 30-08-2004, 12:50

piu tardi cè provvo pure ioo

Discussione: Help iptables

Strumenti discussione

Ricerca discussione

Visualizza

Help iptables

Permessi di invio