Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 25

Discussione: iptables

  1. #1

    iptables

    Ciao, purtroppmo la ricerca non va e non posso controllare scritp già fatti.

    Ho una lan composta da un Server\Firewall e da un client, io vorrei bloccare tutto il traffico del server, permettendo al server di utilizzare solamente:

    Server FTP, HTTP, MAIL e DNS. mentre sul client vorrei utilizzare tutte le normali apllicazioni Chat, client FTP, client WEB ecc...

    Qualcuno sa darmi una mano nelle regole da fare?

    Server ha 2 NIC: quella che si interfaccia con il modem 192.168.100.2, quella che si interfaccia con il pc della lan 192.168.0.1, mentre il pc client 192.168.0.2

    Queste sono le mie regole:

    #Puliamo le regole
    iptables -F
    iptables -F -t nat

    #Non accetto traffico in ingresso
    iptables -P INPUT DROP

    #Non accetto traffico tra le schede
    iptables -P FORWARD DROP

    #Accetto traffico uscente
    iptables -P OUTPUT ACCEPT

    #Permette di utilizzare la porta di SSH
    iptables -A INPUT -p tcp --dport 22 -d 192.168.0.1 -j ACCEPT

    #Settaggio per le aplicazioni del client
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 113 -j DNAT --to-destination 192.168.0.2
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3000:3020 -j DNAT --to-destination 192.168.0.2


    Solamente che con questo funziona solo SSH dal pc 192.168.0.2, mentre il collegamento ad internet mi salta su entrambi i pc... Qualcunos a aiutarmi?


    Grazie mille

  2. #2
    Utente di HTML.it
    Registrato dal
    Oct 2002
    Messaggi
    2,894
    Devi anche aprire il forward dei pacchetti indirizzati alle porte 80 e 443 dalla LAN verso internet, il masq dei pacchetti va bene...

  3. #3
    80 e 443 sono per http e dns.

    Però il clint va sempre down quando attivo questo script, quindi non può essere giusto...

  4. #4
    ehm dns lavoro su 53 tcp/udp ... la 443 è ssl !
    cmq cat /etc/services e vedi come il sistema fa il binding tra name services e number port services !
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  5. #5
    Ok, però a me rimane sempre il problema che con quelle policy non riesco a navigare su internet...

  6. #6
    abilitare il forwarding dei pacchetti ?
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  7. #7
    uhh per abilitarlo dalla LAN(192.168.0.2) a Internet e da Internet alla Lan(192.168.0.2) come devo fare?

  8. #8
    no il forwarding si abilita in maniera generica ovvero puoi (salvo poi restrizione date con routing o con iptables) far chiacchierare tutte le schede tra loro.
    echo "1" > /proc/sys/net/ipv4/ip_forward
    I have tried all ... but the preferred remains SLACKWARE !
    RHCE (Linux Red Hat Certified Engineer)
    CNAC (Cisco Networking Academy Certified)
    "Non auro, sed ferro, recuperanda est patria"

  9. #9
    Il problema è qua:

    iptables -P FORWARD DROP

    Non mi fa uscire su internet, come posso fare per impostare una policy che faccia, modo che il firewall consenta il passaggio dei pacchetti che io richiedo dal Client verso Internet, che mi faccia arrivare anche le risposte?

    Senza dover ricorrere a iptables -P FORWARD ACCEPT che mi consentirebbe tutto il traffico?

  10. #10
    Utente di HTML.it
    Registrato dal
    Oct 2002
    Messaggi
    2,894
    Fai le regole solo per le porte 80 e 443

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.