| iptables AIUTOOO!!!! [messaggio #38951] |
mar, 24 maggio 2011 18:29  |
 Michele Barbato
Messaggi: 72
Registrato: gennaio 2011 |
Member |
|
|
Ubuntu 10.10, doppia scheda di rete.
eth1 192.168.1.115 è collegato il router adsl.
eth0 192.168.0.1 è collegato un pc con indirizzo 192.168.0.12.
Devo fare in modo che il PC veda la rete esterna, in sostanza un forward
da eth0 a eth1 e viceversa. Volevo cominciare non con la porta 80 ma con
la 119, quella del news server.
Come configuro iptables ? Sarà una banalità ma è tutto il giorno che ci
smadonno senza venirne a capo.
Grazie.
Mik
|
|
|
| Re: iptables AIUTOOO!!!! [messaggio #38952 è una risposta a message #38951] |
mar, 24 maggio 2011 21:43  |
Alessandro Selli
Messaggi: 242
Registrato: novembre 2010 |
Senior Member |
|
|
Michele Barbato ha scritto:
> Ubuntu 10.10, doppia scheda di rete.
>
> eth1 192.168.1.115 è collegato il router adsl.
>
> eth0 192.168.0.1 è collegato un pc con indirizzo 192.168.0.12.
>
> Devo fare in modo che il PC veda la rete esterna, in sostanza un forward
> da eth0 a eth1 e viceversa. Volevo cominciare non con la porta 80 ma con
> la 119, quella del news server.
>
> Come configuro iptables ? Sarà una banalità ma è tutto il giorno che ci
> smadonno senza venirne a capo.
SNAT per tutti, per tutte le porte e protocolli:
# iptables -t nat -A POSTROUTING --out-interface eth1 -j SNAT
--to-source 192.168.1.115
SNAT per il solo host 192.168.0.12, per tutte le porte e protocolli:
# iptables -t nat -A POSTROUTING --source 192.168.0.12 -j SNAT
--to-source 192.168.1.115
E, ovviamente:
# echo 1 > /proc/sys/net/ipv4/ip_forward
E, ovviamente, il PC deve avere il tuo router come suo default gateway.
Ciao,
--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
|
|
|
| Re: iptables AIUTOOO!!!! [messaggio #38953 è una risposta a message #38951] |
mar, 24 maggio 2011 22:27 |
THe_ZiPMaN
Messaggi: 221
Registrato: novembre 2010 |
Senior Member |
|
|
On 05/24/2011 06:29 PM, Michele Barbato wrote:
> Ubuntu 10.10, doppia scheda di rete.
>
> eth1 192.168.1.115 è collegato il router adsl.
>
> eth0 192.168.0.1 è collegato un pc con indirizzo 192.168.0.12.
>
> Devo fare in modo che il PC veda la rete esterna, in sostanza un forward
> da eth0 a eth1 e viceversa.
Ma anche no. Non penso sia tua intenzione aprire comunicazioni
bidirezionali, almeno nel senso inteso oggigiorno con firewall stateful.
Potrebbe esserti utile a tal proposito leggere wikipedia.
http://en.wikipedia.org/wiki/Stateful_firewall
E se non capisci qualcosa a ritroso fino alle basi del networking.
> Volevo cominciare non con la porta 80 ma con
> la 119, quella del news server.
Una o l'altra è indifferente.
> Come configuro iptables ? Sarà una banalità ma è tutto il giorno che ci
> smadonno senza venirne a capo.
Non sarebbe stato male se avessi descritto i tuoi smadonnamenti; in tal
modo tutti avrebbero potuto capire cosa hai provato per darti
indicazioni mirate.
Al 99.99% hai scordato il nat o l'ip_forwarding.
La cosa più semplice per far quel che chiedi è:
# sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -I POSTROUTING -j MASQUERADE
# iptables -F FORWARD
# iptables -P FORWARD DROP
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 119 -j ACCEPT
In ogni caso ti consiglio vivissimamente di installare shorewall e
impararti quello. Scrivere le regole di iptables a mano senza sapere
esattamente come funziona il firewall di Linux è uno dei modi più rapidi
per rendere insicura una rete.
--
Flavio Visentin
Scientists have finally discovered what's wrong with the female brain:
On the left side, there is nothing right, and on the right side, there
is nothing left.
|
|
|
|
|
| Re: iptables AIUTOOO!!!! [messaggio #38957 è una risposta a message #38954] |
mar, 24 maggio 2011 23:50 |
THe_ZiPMaN
Messaggi: 221
Registrato: novembre 2010 |
Senior Member |
|
|
On 05/24/2011 11:31 PM, Michele Barbato wrote:
>> La cosa più semplice per far quel che chiedi è:
>>
>> # sysctl -w net.ipv4.ip_forward=1
>> # iptables -t nat -I POSTROUTING -j MASQUERADE
>> # iptables -F FORWARD
>> # iptables -P FORWARD DROP
>> # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>> # iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 119 -j ACCEPT
>>
>
> Niente da fare, non va.
Quindi il tuo problema non è iptables, perché se fosse solo quello il
problema con le regole di cui sopra dovrebbe andare.
> Premetto che il pc è un portatile con windows xp sul quale accedo al
> server news tramite outlook express, quando tento di accedere ai
> newsgroup compare all'istante il messaggio "Impossibile trovare il server".
Il che è un chiaro segno di impossibilità nel risolvere il nome.
> L'indirizzo lo prende in automatico dal dhcp che ho installato in
> ubuntu. Questo il dhcpd.conf
>
> default-lease-time 600;
> max-lease-time 7200;
> option subnet-mask 255.255.255.0;
> option broadcast-address 192.168.0.255;
> option routers 192.168.0.2;
> subnet 192.168.0.0 netmask 255.255.255.0 {
> range 192.168.0.12 192.168.0.100;
> option routers 192.168.0.2;
> }
E difatti abbiamo due option routers e nessuna opzione per i DNS.
> quindi il pc si ritrova con ip 192.168.0.12 e gateway 192.168.0.2 dal
> lato eth0. Non capisco perchè non debba funzionare.
Se provi a fare telnet 193.43.96.1 119 vedrai che funziona.
Come immaginavo il problema è ben differente da quello da te
prospettato. Per iptables puoi fare queste semplici regole:
# sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -I POSTROUTING -j MASQUERADE
# iptables -F FORWARD
# iptables -P FORWARD ACCEPT
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -i eth1 -o eth0 -j REJECT
e vedrai che una volta aggiunti i DNS tutto funziona
--
Flavio Visentin
Scientists have finally discovered what's wrong with the female brain:
On the left side, there is nothing right, and on the right side, there
is nothing left.
|
|
|
|
| Re: iptables AIUTOOO!!!! [messaggio #38959 è una risposta a message #38958] |
mer, 25 maggio 2011 00:31 |
THe_ZiPMaN
Messaggi: 221
Registrato: novembre 2010 |
Senior Member |
|
|
> Grandioso !!! Funziona !!!
> Sto scrivendo dal portatile con outlook express.
Funziona e Outlook nella stessa frase sono un ossimoro.
> Una giornata persa ed era il DNS. Comunque ho dovuto scrivere il secondo
> gruppo di regole perchè con il primo non andava,
Chiaramente. Tu avevi richiesto come configurare iptables per far
passare la porta 119 e io nella prima risposta ho risposto
pedissequamente al tuo quesito. Peccato che quello che tu avevi
richiesto non fosse quello che tu volevi.
Come minimo avresti dovuto aggiungere le porte 53 udp e tcp per il DNS e
probabilmente la 25 per l'SMTP; poi per usare il PC anche per altro
avresti dovuto aggiungere tutte le altre porte come la 21, 80, 443, 110,
995, 143, 993, ecc.ecc.
> ho visto che hai
> trasformato un iptables -P FORWARD DROP in iptables -P FORWARD ACCEPT, boh!
E' la politica di default da usare quando il pacchetto non matcha alcuna
regola. Nel primo caso droppi tutto quel che non era porta 119 tcp dalla
eth1 alla eth0 e ritorno. Nel secondo caso lasci passare tutto da tutte
le interfacce e blocchi con un REJECT (preferibile al DROP sulle reti
fidate) il traffico che va dalla eth0 alla eth1 a meno che non sia
traffico corrispondente a connessioni già aperte in precedenza o in
altre direzioni.
--
Flavio Visentin
Scientists have finally discovered what's wrong with the female brain:
On the left side, there is nothing right, and on the right side, there
is nothing left.
|
|
|
|
|
| Re: iptables AIUTOOO!!!! [messaggio #38969 è una risposta a message #38965] |
gio, 26 maggio 2011 00:47 |
Michele Barbato
Messaggi: 72
Registrato: gennaio 2011 |
Member |
|
|
>
> Ovviamente non funziona cosa significa?
Non so che dire, è tutta stasera che ci smanetto e ora funziona. Ho
messo il tutto in uno script per non sbagliare, mentre prima facevo il
copia incolla delle righe ... avrò sbagliato a riportare qualcosa !!!
Mi cospargo il capo di cenere ....
|
|
|
My forum, my way! Il forum dei newsgroup
Utenti
F.A.Q.
Registrati
Login
Home
E-mail ad un amico 
