Re: ADSL e iptables (2x eth)
On 6/25/05, Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > Comunque queste regole mi piacciono: ho appena scoperto che se entro > dal firewall in remoto via ssh poi non posso muovermi all'interno > della rete locale. Forse devo applicare qualche regolina per > agevolarmi l'amministrazione o una backdoor... Risolto! iptables -A INPUT -d 192.168.10.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
On 6/24/05, paolo <[EMAIL PROTECTED]> wrote: > Purtroppo io non sono laureato in lettere ed ho un po' di > difficoltà ad esprimermi e farmi capire... :) > per favore sopportami. :- > > Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato > > consentire il forward sull'interfaccia ppp0, ma sussiste un problema: > > solo dall'esterno posso usare l'IP pubblico, dall'interno invece, > > intendo da una macchina della LAN che usa questo firewall per > > connettersi non ho risposta. > > Per curiosità: utilizzando le stesse regole che hai detto, > ad eccezione di utilizzare ACCEPT come policy della FORWARD, > funziona anche in quell'unico caso in cui attualmente non va? > Fammi sapere perchè sono curioso!!! No, ho provato e non va. Ma come dice giustamente LoSpippolo si tratta di fargli fare un giro tra schede perche' temo che il pacchetto non vada neppure fuori! Nel senso che secondo me funziona cosi': client -> eth1-> ppp0 -> eth1 -> client e non client -> eth1 -> ppp0 -> DNS -> ppp0 -> eth1 -> client > > > > Ultima cosa: > > > "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve? > > > > Ad abilitare la catena di INPUT che ha policy DROP > > OK, ma a meno che tu non abbia un webserver anche sul > firewall, quella regola non ti serve perchè tu fai il PREROUTING della 80 > verso il webserver e non passi per la catena di INPUT... > in pratica quella regola sarebbe "cagata" da iptables solo per > i pacchetti provenienti dalla LAN e indirizzati al indirizzo privato > del firewall (eth1) sulla porta 80. No, sul firewall non c'e' webserver, probabilmente hai ragione, anche se mi pareva che non andasse senza. La teoria e' certamente dalla tua! Comunque queste regole mi piacciono: ho appena scoperto che se entro dal firewall in remoto via ssh poi non posso muovermi all'interno della rete locale. Forse devo applicare qualche regolina per agevolarmi l'amministrazione o una backdoor... -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
On 6/24/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > On 6/24/05, paolo <[EMAIL PROTECTED]> wrote: > > > Permittimi di fare il cocciuto... :) > > > > Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato > > consentire il forward sull'interfaccia ppp0, ma sussiste un problema: > > perfetto... > > > solo dall'esterno posso usare l'IP pubblico, dall'interno invece, > > intendo da una macchina della LAN che usa questo firewall per > > connettersi non ho risposta. > > mi pare piu' che ovvio, dovresti far fare un giro mica per ridere a quei > pacchetti per arrivare a quel pc. > > lan -> firewall scheda lan -> firewall scheda ppp0, -> firewall scehda > lan di nuovo -> web server > > il firewall, se il tuo targe e' nella lan non lo devi nemmeno sfiorare > :-) fai molto prima e meglio a mettere un dns interno (un bind con 4 > voci) che risolva i tuoi nomi www.tuoserver.it con l'indirizzo INTERNO > alla lan 192.168.x.x e che invece parli con un dns esterno (uno > qualcunque vanno bene tutti) per navigare in internet, magari cachando > gl iindirizzi esterni per fare prima. > > Io ho fatto cosi'... Ehm, si' forse e' meglio! Grazie! -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
Purtroppo io non sono laureato in lettere ed ho un po' di difficoltà ad esprimermi e farmi capire... :) per favore sopportami. > Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato > consentire il forward sull'interfaccia ppp0, ma sussiste un problema: > solo dall'esterno posso usare l'IP pubblico, dall'interno invece, > intendo da una macchina della LAN che usa questo firewall per > connettersi non ho risposta. Per curiosità: utilizzando le stesse regole che hai detto, ad eccezione di utilizzare ACCEPT come policy della FORWARD, funziona anche in quell'unico caso in cui attualmente non va? Fammi sapere perchè sono curioso!!! > > Ultima cosa: > > "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve? > > Ad abilitare la catena di INPUT che ha policy DROP OK, ma a meno che tu non abbia un webserver anche sul firewall, quella regola non ti serve perchè tu fai il PREROUTING della 80 verso il webserver e non passi per la catena di INPUT... in pratica quella regola sarebbe "cagata" da iptables solo per i pacchetti provenienti dalla LAN e indirizzati al indirizzo privato del firewall (eth1) sulla porta 80. > iptables -P OUTPUT ACCEPT >[cut] > iptables -A OUTPUT -o lo -j ACCEPT Ridondanza... Ciao Paolo -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
> On 6/24/05, paolo <[EMAIL PROTECTED]> wrote: > > Permittimi di fare il cocciuto... :) > > Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato > consentire il forward sull'interfaccia ppp0, ma sussiste un problema: perfetto... > solo dall'esterno posso usare l'IP pubblico, dall'interno invece, > intendo da una macchina della LAN che usa questo firewall per > connettersi non ho risposta. mi pare piu' che ovvio, dovresti far fare un giro mica per ridere a quei pacchetti per arrivare a quel pc. lan -> firewall scheda lan -> firewall scheda ppp0, -> firewall scehda lan di nuovo -> web server il firewall, se il tuo targe e' nella lan non lo devi nemmeno sfiorare :-) fai molto prima e meglio a mettere un dns interno (un bind con 4 voci) che risolva i tuoi nomi www.tuoserver.it con l'indirizzo INTERNO alla lan 192.168.x.x e che invece parli con un dns esterno (uno qualcunque vanno bene tutti) per navigare in internet, magari cachando gl iindirizzi esterni per fare prima. Io ho fatto cosi'... LoSpippolo Meglio pentirsi di averci provato che pentirsi di non averci provato. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/24/05, paolo <[EMAIL PROTECTED]> wrote: > Permittimi di fare il cocciuto... :) Anche a me! ;-))) Sostanzialmente ci sono riuscito. Mi e' bastato consentire il forward sull'interfaccia ppp0, ma sussiste un problema: solo dall'esterno posso usare l'IP pubblico, dall'interno invece, intendo da una macchina della LAN che usa questo firewall per connettersi non ho risposta. IPPRIVATO -> IPPRIVATO ok IPFUORI -> IPPUBBLICO ok IPPUBBLICO -> IPPUBBLICO NO! > Ultima cosa: > "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve? Ad abilitare la catena di INPUT che ha policy DROP Questo il mio iptables che funzia come descritto sopra. # RESETTO LE REGOLE ESISTENTI iptables -F iptables -F --table nat # REGOLE DI DEFAULF # Nego ingresso iptables -P INPUT DROP # Nego dialogo tra schede iptables -P FORWARD DROP # Accetto il traffico in uscita iptables -P OUTPUT ACCEPT # LOOPBACK! iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # MASQUERADING iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # FORWARD -> traffico LAN verso Internet e ritorno iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.10.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT # FORWARD tra ppp0 e eth1 () iptables -A FORWARD -i ppp0 -j ACCEPT # INPUT -> traffico di ritorno verso IP # permetto a quello che e` uscito di rientrare iptables -A INPUT -d $MYIP -m state --state ESTABLISHED,RELATED -j ACCEPT # TRAFFICO VERSO L'INTERNO # www iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 80 -d $MYIP -j DNAT --to $WEBSERVER:80 # ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 22 -d $MYIP -j DNAT --to $WEBSERVER:22 -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to > $WEBSERVER:80 > > che poi e' mutuato dall'ottimo script di LoSpippolo (ho un IP statico, > quindi non mi serve capire ogni volta qual e') a cui mi sono ispirato > anche per il resto. Permittimi di fare il cocciuto... :) Tu, in una tua mail hai scritto una regola del tipo iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to $WEBSERVER:80 ... questa non va perchè tu devi nattare le richieste che arrivano sulla interfaccia con l'ip pubblico. Ora, se tu li metti il tuo IP pubblico statico allora funge. Inoltre io resto dell'idea che con "-i ppp0" la cosa è identica (in termini pratici, visto che semanticamente la cosa è differente!). Ultima cosa: "iptables -A INPUT -p tcp --dport 80 -j ACCEPT" a che ti serve? Ciao Paolo -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
> > > > mmm, io inizio ad essere a corto di idee, quelle tre righe di script che > > ti ho mandato sono prese direttamente dal MIO script di firewall, dove > > ho 8 indirizzi statici e su uno di essi e' attestato un web server che > > funziona perfettamente. > > Infatti per questo l'ho usato: e' uno tra gli esempi piu' chiari e > vicini a quello che volevo fare io che sono riuscito a trovare. > > > mmm, io inizio ad essere a corto di idee > > Tu sai come fare a monitorare un pacchetto? nel senso a vedere dove va > e come torna? mi sono fatto l'idea che i pacchetti raggiungono > effettivamente il webserver ma non riescono a tornare indietro. no, non saprei, ci sono un sacco di software che monitorano il traffico, anche se forse farebbe al caso tuo la direttiva -log di iptables che purtroppo non so' usare. > > Ci sono inoltre dei tempi di latenza tra quando applico le regole e > quando queste sono attive? > no, io uso uno script, appena lo ricarico le regole sono attive all'istante. LoSpippolo Tutto cio' che chiunque dice delle donne e' vero. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/24/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > Pero', tornando a bomba sulla questione, perche' anche in una > > situazione in cui quella regola e' l'unica presente i pacchetti non > > vengono rediretti? Visto che c'erano delle perplessita' sulla > > configurazione del websever possiamo anche fare un'altra porta, tipo > > ssh > > > > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to > > $WEBSERVER:22 > > > > raggiungo SSH dalla rete locale ma non attraverso il firewall, > > parimenti al webserver > > > > quindi se capisco bene NESSUNA porta forwardata ti arriva al web server > giusto ? > > ma come diceva Paolo, non e' che hai un firewall anche sul webserver ? Sul webserver c'e' ovviamente iptables ma le regole sono quelle di default: ACCEPT per tutte le catene. > > Domanda: Ovviamente il pc col modem e' il default wateway del webserver > vero ? Lo darei per scontato visto che naviga, pero' nn si sa' mai. Si'. La macchina con il modem e' il gateway. > > mmm, io inizio ad essere a corto di idee, quelle tre righe di script che > ti ho mandato sono prese direttamente dal MIO script di firewall, dove > ho 8 indirizzi statici e su uno di essi e' attestato un web server che > funziona perfettamente. Infatti per questo l'ho usato: e' uno tra gli esempi piu' chiari e vicini a quello che volevo fare io che sono riuscito a trovare. > mmm, io inizio ad essere a corto di idee Tu sai come fare a monitorare un pacchetto? nel senso a vedere dove va e come torna? mi sono fatto l'idea che i pacchetti raggiungono effettivamente il webserver ma non riescono a tornare indietro. Ci sono inoltre dei tempi di latenza tra quando applico le regole e quando queste sono attive? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> Pero', tornando a bomba sulla questione, perche' anche in una > situazione in cui quella regola e' l'unica presente i pacchetti non > vengono rediretti? Visto che c'erano delle perplessita' sulla > configurazione del websever possiamo anche fare un'altra porta, tipo > ssh > > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to > $WEBSERVER:22 > > raggiungo SSH dalla rete locale ma non attraverso il firewall, > parimenti al webserver > quindi se capisco bene NESSUNA porta forwardata ti arriva al web server giusto ? ma come diceva Paolo, non e' che hai un firewall anche sul webserver ? Domanda: Ovviamente il pc col modem e' il default wateway del webserver vero ? Lo darei per scontato visto che naviga, pero' nn si sa' mai. mmm, io inizio ad essere a corto di idee, quelle tre righe di script che ti ho mandato sono prese direttamente dal MIO script di firewall, dove ho 8 indirizzi statici e su uno di essi e' attestato un web server che funziona perfettamente. mah LoSpippolo Guardati dai parenti che portano doni. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
LoSpippolo: scusa il privato! On 6/24/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > > Scusa nella precedente mail ho fatto casini. La regola è la seguente: > > > > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > > > > 192.168.0.10 > > > > > > > sei sicuro che -i ppp0 funzioni ? forse e' meglio mettere l'indirizzo ip > > > numerico, io uso questa cosa qui, fai anche l'echo per essere sicuri di > > > aver beccato la "finestra"giusta > > > > Dovrebbe funzionare. > > Ad ogni modo usare "-d ip_privato" era sbagliato, o no? > > direi di si... > > > LoSpippolo > > Beati gli assetati di giustizia, perche' saranno giustiziati > > Ciao! Allora, l'opzione ppp0 non puo' funzionare perche' altrimenti tutte le richieste fatte sulla porta 80 vengono reidirizzate alla macchia interna. Si tratta di prerouting. Invece quando ho indicato l'ip_privato era in riferimento ad una connessione attestata dietro il router, quindi corretta. Per la conn in oggetto invece la riga includeva IP pubblico iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to $WEBSERVER:80 che poi e' mutuato dall'ottimo script di LoSpippolo (ho un IP statico, quindi non mi serve capire ogni volta qual e') a cui mi sono ispirato anche per il resto. Pero', tornando a bomba sulla questione, perche' anche in una situazione in cui quella regola e' l'unica presente i pacchetti non vengono rediretti? Visto che c'erano delle perplessita' sulla configurazione del websever possiamo anche fare un'altra porta, tipo ssh iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to $WEBSERVER:22 raggiungo SSH dalla rete locale ma non attraverso il firewall, parimenti al webserver -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> > > Scusa nella precedente mail ho fatto casini. La regola è la seguente: > > > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > > > 192.168.0.10 > > > > > sei sicuro che -i ppp0 funzioni ? forse e' meglio mettere l'indirizzo ip > > numerico, io uso questa cosa qui, fai anche l'echo per essere sicuri di > > aver beccato la "finestra"giusta > > Dovrebbe funzionare. > Ad ogni modo usare "-d ip_privato" era sbagliato, o no? direi di si... LoSpippolo Beati gli assetati di giustizia, perche' saranno giustiziati
Re: ADSL e iptables (2x eth)
> > Scusa nella precedente mail ho fatto casini. La regola è la seguente: > > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > > 192.168.0.10 > > > sei sicuro che -i ppp0 funzioni ? forse e' meglio mettere l'indirizzo ip > numerico, io uso questa cosa qui, fai anche l'echo per essere sicuri di > aver beccato la "finestra"giusta Dovrebbe funzionare. Ad ogni modo usare "-d ip_privato" era sbagliato, o no? P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
> > iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT > > --to 192.168.0.10:80 > > Scusa nella precedente mail ho fatto casini. La regola è la seguente: > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > 192.168.0.10 > sei sicuro che -i ppp0 funzioni ? forse e' meglio mettere l'indirizzo ip numerico, io uso questa cosa qui, fai anche l'echo per essere sicuri di aver beccato la "finestra"giusta export PPP0IP=$(ifconfig | grep -1 ppp0 | tail -1 | sed 's/.*r://' | sed 's/ .*$//') echo $PPP0IP LoSpippolo Non utilizzare il tuo modem come parafulmine.
Re: ADSL e iptables (2x eth)
> iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT > --to 192.168.0.10:80 Scusa nella precedente mail ho fatto casini. La regola è la seguente: iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to 192.168.0.10 Paolo -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
On 6/23/05, paolo <[EMAIL PROTECTED]> wrote: > > iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT > > --to 192.168.0.10:80 > > Allora penso di aver capito. > Anziche quella sopra usa la seguente: > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > 92.168.0.10:80 > > Paolo > > -- > Paolo Larcheri > Linux User #383461 > http://counter.li.org NON VA! Non so piu' che fare... queste sono le regole: # RESETTO LE REGOLE ESISTENTI iptables -F iptables -F --table nat # REGOLE DI DEFAULF iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # MASQUERADING iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # NAT iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to 192.168.0.10:80 # MOSTRO LE REGOLE DI NAT iptables -L iptables -L --table nat come vedi ho resettato tutto e portato la questione al minimo. Il web server risponde e risponde bene, ma i pacchetti non passano. Ho provato anche con altre macchine, ma niente :-((( -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT > --to 192.168.0.10:80 Allora penso di aver capito. Anziche quella sopra usa la seguente: iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to 92.168.0.10:80 Paolo -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
Andrea Ganduglia wrote: Questo mi lascia intendere che hai iptables attivo anche sul webserver... puoi rispiegarti meglio! Certo che posso! In fondo sono laureato in lettere! :-)) ROTFL! Cristian -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/23/05, paolo <[EMAIL PROTECTED]> wrote: > > Se aggancio il > > modem direttamente al webserver e lascio passare INPUT sulla 80 va. > > Deve essere qualcosa relativo all'IP!!! Ma cosa? > > Questo mi lascia intendere che hai iptables attivo anche sul > webserver... puoi rispiegarti meglio! Certo che posso! In fondo sono laureato in lettere! :-)) Il webserver ha ip 192.168.0.10 ed e' raggiungibile sia dall'interno che dall'esterno attraverso una ADSL su router. Il firewall che permette di raggiungerlo dall'esterno ha sostanzialmente questa regola: iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to 192.168.0.10:80 Come -d ho l'IP del firewall perche' e' il router che natta la rete verso quell'IP e quella porta. POI ho un altro firewall, quello che sto configurando adesso. Questo FIREWALL ha una ADSL su modem collegata alla eth0 e la eth1 permette di dialogare con la rete locale. Dalle regole che ho postato mi aspetto che accada questo: una conn richiesta su ppp0 che viene nattata verso il webserver e poi torna indietro. Il webserver non ha regole di iptables (e' la conf di default) e come gateway ha ovviamente questo secondo firewall! :-(( -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
On 6/23/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > quindi a te manca una cosa del tipo > > > > > > iptables -A FORWARD -s $WEBSERVER -m state --state ESTABLISHED,RELATED -j > > > ACCEPT > > > > Ma la regola "iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT" che lui ha > > dato > > a iptables non la 'contiene' già!? > > > > Hai ragione. > > cmq io proverei lo stesso, giusto per curiosita' > > LoSpippolo > > VERGINE (23 Ago - 22 Sett): Lo rimarrai. > > Mi spiace. Ho provato ma non cambia. -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> Se aggancio il > modem direttamente al webserver e lascio passare INPUT sulla 80 va. > Deve essere qualcosa relativo all'IP!!! Ma cosa? Questo mi lascia intendere che hai iptables attivo anche sul webserver... puoi rispiegarti meglio! P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
On 6/23/05, paolo <[EMAIL PROTECTED]> wrote: > > # FORWARD -> traffico LAN verso Internet e ritorno > > iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT > > iptables -A FORWARD -d 192.168.10.0/24 -m state --state > > ESTABLISHED,RELATED -j ACCEPT > > > > # www > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to > > $WEBSERVER:80 > > > > [CUT] > > > > Tutto funzia bene. Le macchine interne navigano benissimo (questo msg > > ne e' la prova), anche SSH viene rediretta al Firewall (che e' la > > macchina dove c'e' il modem). Mentre il web server non va. > > > > Quindi se non ho capito male non riesci ad accedere da fuori al tuo webserver! > Ma dimmi, gli host interni ci accedo con successo? ... non è che è mal > cofigurato, > tipo che hai delle ACL o robe varie? > > > Secondo me i pacchetti dal webserver non riescono a tornare > > indietro... hai qualche idea? > > Mi sembra strano, visto che fai DNAT e il forward è consentito > per i pacchetti provenienti dalla LAN (vedi regola in cima!). > > Ripeto secondo me è qualcosa che non va nella conf del webserver. > Magari come ulteriore test, prova da fuori a telnettarti sulla 80 e vedi > che succede! Il webserver e' perfetto! Raggiungibile sia dall'interno che dall'esterno con un'altra connessione, su un altro firewall, ma con le stesse regole. L'unica differenza e' che quella che va fa un nat sull'ip interno, perche' e' sul router, mentre questa e' via modem. Se aggancio il modem direttamente al webserver e lascio passare INPUT sulla 80 va. Deve essere qualcosa relativo all'IP!!! Ma cosa? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> > quindi a te manca una cosa del tipo > > > > iptables -A FORWARD -s $WEBSERVER -m state --state ESTABLISHED,RELATED -j > > ACCEPT > > Ma la regola "iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT" che lui ha > dato > a iptables non la 'contiene' già!? > Hai ragione. cmq io proverei lo stesso, giusto per curiosita' LoSpippolo VERGINE (23 Ago - 22 Sett): Lo rimarrai.
Re: ADSL e iptables (2x eth)
> quindi a te manca una cosa del tipo > > iptables -A FORWARD -s $WEBSERVER -m state --state ESTABLISHED,RELATED -j > ACCEPT Ma la regola "iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT" che lui ha dato a iptables non la 'contiene' già!? P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
> # FORWARD -> traffico LAN verso Internet e ritorno > iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT > iptables -A FORWARD -d 192.168.10.0/24 -m state --state > ESTABLISHED,RELATED -j ACCEPT > > # www > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to > $WEBSERVER:80 > > [CUT] > > Tutto funzia bene. Le macchine interne navigano benissimo (questo msg > ne e' la prova), anche SSH viene rediretta al Firewall (che e' la > macchina dove c'e' il modem). Mentre il web server non va. > Quindi se non ho capito male non riesci ad accedere da fuori al tuo webserver! Ma dimmi, gli host interni ci accedo con successo? ... non è che è mal cofigurato, tipo che hai delle ACL o robe varie? > Secondo me i pacchetti dal webserver non riescono a tornare > indietro... hai qualche idea? Mi sembra strano, visto che fai DNAT e il forward è consentito per i pacchetti provenienti dalla LAN (vedi regola in cima!). Ripeto secondo me è qualcosa che non va nella conf del webserver. Magari come ulteriore test, prova da fuori a telnettarti sulla 80 e vedi che succede! Paolo -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: ADSL e iptables (2x eth)
> > Pero' prima ho un problema su IPTABLES. Il mio obiettivo e' nattare la > porta 80 verso un'altra macchina... > > # Nego ingresso > iptables -P INPUT DROP > # Nego dialogo tra schede > iptables -P FORWARD DROP > # Accetto il traffico in uscita > iptables -P OUTPUT ACCEPT le regole di default sono ugiuali alle mie > > # www > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to > $WEBSERVER:80 > > # ssh > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to > $FIREWALL:22 > > Tutto funzia bene. Le macchine interne navigano benissimo (questo msg > ne e' la prova), anche SSH viene rediretta al Firewall (che e' la > macchina dove c'e' il modem). Mentre il web server non va. > > Secondo me i pacchetti dal webserver non riescono a tornare > indietro... hai qualche idea? > ti manca il forward di ritorno che per ssh non server perche' e' la macchina che e' soggetta alle regole di input, infatti la riga di prerouting e' inutile in quanto tu fai il routing dall'indirizzo esterno $MYIP del firewall all'indirizzo interno $FIREWALL della stessa macchina, giusto ? quindi lascia solo la regola di input, il prerouting nn serve, fai solo un salto in piu' al traffico di rete. Per quel che riguarda il web server io per forwardare dentro la dmz il traffico iptables -t nat -A PREROUTING -p tcp --dport 80 -d INDIRIZZO_IP_ESTERNO -j DNAT --to-destination INDIRIZZO_IP_INTERNO iptables -A FORWARD -p tcp --dport 80 -d INDIRIZZO_IP_INTERNO -j ACCEPT iptables -A FORWARD -s INDIRIZZO_IP_INTERNO -m state --state ESTABLISHED,RELATED -j ACCEPT # quindi a te manca una cosa del tipo iptables -A FORWARD -s $WEBSERVER -m state --state ESTABLISHED,RELATED -j ACCEPT e al posto di $WEBSERVER:80 puoi mettere solo $WEBSERVER perche' la porta e' la sempre la 80, se invece cambiavi anche quella la dovevi specificare,. prova e vediamo se c'ho indovinato :-D saludos LoSpippolo Aiuta anche tu a combattere la deriva dei continenti. Sposta un'isola. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/23/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > On 6/22/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > > > > > > > > > L'ultima cosa che vi chiedo, giusto per imparare la teoria: la > > > > connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre > > > > le macchine interne hanno come netmask 255.255.255.0 e ip di classe > > > > 192.168.0.x > > > > > > > > Ci sono problemi? > > > > > > > > > > no, e' cosi che dev'essere > > > > > > per completezza ti posto l'ifconfig del mio proxy aziendale che usa una > > > adsl su pppoe di infostrada > > > > E' praticamente identico al mio! GRAZIE! > > prego... > > > > > Ancora su questo argomento. Sono stato "costretto" ad utilizzare un > > modem ADSL al posto per router, perche' non sono riuscito a far > > digerire ad un vecchio CISCO le configurazioni di questa ADSL. > > > > Ora. Quali problemi di sicurezza ci sono ad usare un modem sul > > firewall (nel mio caso specifico un vecchio Alcatel Speed Touch Home > > ETH) al posto del router? e in oltre: ho un'altra ADSL di backup che > > viene tenuta su da un'altra macchina: qual e' il modo piu' furbo per > > far passare il firewall da una all'altra? > > > > > eh, switchare il default gateway di tutte le macchine della rete e' un > po' dura senza cambiare le impostazioni del dhcp server e riavviare se > nn i computer ma almeno la configurazione del tcp/ip. > > potresti fare cosi, se la macchina "ufficiale" ha problemi ad andare in > internet, ed il come e' da decidere, tipo un controllo se ppp0 down, o > un ping ad un indirizzo su internet schedulato ogni 2 minuti che da' > richiesta scaduta o qualche altro artifizio che adesso nn mi sovviene, > se la rete esterna e' irraggiungibile potresti modificare il default gw > di questa macchina ed usare l'altra per uscire cosi' i tuoi pc della lan > avranno lo stesso def gw (questo pc) ma questo pc non uscira' piu' col > suo modem, ma usando un'altra macchina. > > ma questo cambio di adsl lo puoi fare a manina o dev'essere automatico ??? > > spero di essermi spiegato ed aver fatto una proposta felice > > :-) > Anzitutto grazie per la tua disponibilita'. Sto pensando a come passare da una conn all'altra... ho anche trovato un documentino interessante. Vi faccio sapere! Pero' prima ho un problema su IPTABLES. Il mio obiettivo e' nattare la porta 80 verso un'altra macchina... # Nego ingresso iptables -P INPUT DROP # Nego dialogo tra schede iptables -P FORWARD DROP # Accetto il traffico in uscita iptables -P OUTPUT ACCEPT # MASQUERADING iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # FORWARD -> traffico LAN verso Internet e ritorno iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.10.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT # www iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 80 -j DNAT --to $WEBSERVER:80 # ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d $MYIP --dport 22 -j DNAT --to $FIREWALL:22 Tutto funzia bene. Le macchine interne navigano benissimo (questo msg ne e' la prova), anche SSH viene rediretta al Firewall (che e' la macchina dove c'e' il modem). Mentre il web server non va. Secondo me i pacchetti dal webserver non riescono a tornare indietro... hai qualche idea? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> On 6/22/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > > > > > > L'ultima cosa che vi chiedo, giusto per imparare la teoria: la > > > connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre > > > le macchine interne hanno come netmask 255.255.255.0 e ip di classe > > > 192.168.0.x > > > > > > Ci sono problemi? > > > > > > > no, e' cosi che dev'essere > > > > per completezza ti posto l'ifconfig del mio proxy aziendale che usa una > > adsl su pppoe di infostrada > > E' praticamente identico al mio! GRAZIE! prego... > > Ancora su questo argomento. Sono stato "costretto" ad utilizzare un > modem ADSL al posto per router, perche' non sono riuscito a far > digerire ad un vecchio CISCO le configurazioni di questa ADSL. > > Ora. Quali problemi di sicurezza ci sono ad usare un modem sul > firewall (nel mio caso specifico un vecchio Alcatel Speed Touch Home > ETH) al posto del router? e in oltre: ho un'altra ADSL di backup che > viene tenuta su da un'altra macchina: qual e' il modo piu' furbo per > far passare il firewall da una all'altra? > eh, switchare il default gateway di tutte le macchine della rete e' un po' dura senza cambiare le impostazioni del dhcp server e riavviare se nn i computer ma almeno la configurazione del tcp/ip. potresti fare cosi, se la macchina "ufficiale" ha problemi ad andare in internet, ed il come e' da decidere, tipo un controllo se ppp0 down, o un ping ad un indirizzo su internet schedulato ogni 2 minuti che da' richiesta scaduta o qualche altro artifizio che adesso nn mi sovviene, se la rete esterna e' irraggiungibile potresti modificare il default gw di questa macchina ed usare l'altra per uscire cosi' i tuoi pc della lan avranno lo stesso def gw (questo pc) ma questo pc non uscira' piu' col suo modem, ma usando un'altra macchina. ma questo cambio di adsl lo puoi fare a manina o dev'essere automatico ??? spero di essermi spiegato ed aver fatto una proposta felice :-) LoSpippolo I CD sono un furto: il lato B e' sempre vuoto. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
> On Wed, 22 Jun 2005 17:38:38 +0200 > LoSpippolo <[EMAIL PROTECTED]> wrote: > > > inet addr:151.41.XX.XX P-t-P:151.6.XX.XX Mask:255.255.255.255 > > Azz! e noi che speravamo di divertirci un po' ;-) > :-P il security assessment di due mesi fa' (3000 euri x una settimana di lavoro mortacci loro) fattoci da una ditta che io nn conoscevo ma dice brava, (non ho avuto voce in capitolo, le mie macchine hanno passivamente subito e mi hanno presentato davanti al fatto compiuto per evitare una hardenizzazione "ad och" al sistema :-D) sono stati agevolmente superati dai sistemi linux / windows. taccio invece sull'sql injection sui programmi asp che girano sui ns server. ma i programmatori sono stati adeguatamente strigliati da chi di dovere. :-D LoSpippolo L'unica cosa che arresta la caduta dei capelli e' il pavimento. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/22/05, LoSpippolo <[EMAIL PROTECTED]> wrote: > > > > > L'ultima cosa che vi chiedo, giusto per imparare la teoria: la > > connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre > > le macchine interne hanno come netmask 255.255.255.0 e ip di classe > > 192.168.0.x > > > > Ci sono problemi? > > > > no, e' cosi che dev'essere > > per completezza ti posto l'ifconfig del mio proxy aziendale che usa una > adsl su pppoe di infostrada E' praticamente identico al mio! GRAZIE! Ancora su questo argomento. Sono stato "costretto" ad utilizzare un modem ADSL al posto per router, perche' non sono riuscito a far digerire ad un vecchio CISCO le configurazioni di questa ADSL. Ora. Quali problemi di sicurezza ci sono ad usare un modem sul firewall (nel mio caso specifico un vecchio Alcatel Speed Touch Home ETH) al posto del router? e in oltre: ho un'altra ADSL di backup che viene tenuta su da un'altra macchina: qual e' il modo piu' furbo per far passare il firewall da una all'altra? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
On Wed, 22 Jun 2005 17:38:38 +0200 LoSpippolo <[EMAIL PROTECTED]> wrote: > inet addr:151.41.XX.XX P-t-P:151.6.XX.XX Mask:255.255.255.255 Azz! e noi che speravamo di divertirci un po' ;-) -- Marco Bertorello System Administrator Linux Registered User #319921 pgpsyIXAQKCM7.pgp Description: PGP signature
Re: ADSL e iptables (2x eth)
On Wed, 22 Jun 2005 17:33:35 +0200 Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > Ci sono problemi? no, è corretto, anche a me fa così. -- Marco Bertorello System Administrator Linux Registered User #319921 pgpou95ChiuEU.pgp Description: PGP signature
Re: ADSL e iptables (2x eth)
> > L'ultima cosa che vi chiedo, giusto per imparare la teoria: la > connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre > le macchine interne hanno come netmask 255.255.255.0 e ip di classe > 192.168.0.x > > Ci sono problemi? > no, e' cosi che dev'essere per completezza ti posto l'ifconfig del mio proxy aziendale che usa una adsl su pppoe di infostrada blackbox:/# ifconfig eth0 Link encap:Ethernet HWaddr 00:10:A7:1A:9B:D2 inet addr:192.168.22.19 Bcast:192.168.22.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4267360 errors:36851 dropped:0 overruns:0 frame:0 TX packets:5736291 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:635914401 (606.4 MiB) TX bytes:987221614 (941.4 MiB) Interrupt:10 Base address:0xd000 eth1 Link encap:Ethernet HWaddr 00:0E:A6:0D:BD:F4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5294996 errors:0 dropped:0 overruns:0 frame:0 TX packets:5368184 errors:0 dropped:0 overruns:0 carrier:0 collisions:6961 txqueuelen:1000 RX bytes:835170556 (796.4 MiB) TX bytes:787487684 (751.0 MiB) Interrupt:15 Memory:dc00-dc001080 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1092 errors:0 dropped:0 overruns:0 frame:0 TX packets:1092 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:65520 (63.9 KiB) TX bytes:65520 (63.9 KiB) ppp0 Link encap:Point-to-Point Protocol inet addr:151.41.XX.XX P-t-P:151.6.XX.XX Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:1002239 errors:0 dropped:0 overruns:0 frame:0 TX packets:1015298 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:961668532 (917.1 MiB) TX bytes:122186608 (116.5 MiB) e la tabella di routing blackbox:/# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 151.6.XX.XX0.0.0.0 255.255.255.255 UH0 00 ppp0 192.168.22.00.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 151.6.XX.XX0.0.0.0 UG0 00 ppp0 per la cronaca e' una debian woody. :-) LoSpippolo Murphy era un ottimista. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ADSL e iptables (2x eth)
On 6/22/05, Marco Bertorello <[EMAIL PROTECTED]> wrote: > On Wed, 22 Jun 2005 17:06:55 +0200 > Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > > > Ciao, ho appena messo su una nuova connessione ADSL via modem > > ethernet. Con pppoeconf ho impegato circa 30 secondi ad adare online, > > ma ora... > > > > La linea ADSL è connessa attraverso eth0, che pero' non ha indirizzo > > IP. Quindi ho messo su una eth1. Come faccio a condividere la > > connessione? Che cosa devo impostare come gateway di questa seconda > > interfaccia? > > apt-get install ipmasq (se non hai troppe necessità di sicurezza) e vivi > felice :-) > > > In pratica, dietro a questa eth1 ci sta la mia rete locale. > > i client dovranno utilizzare l'indirizzo di eth1 come gateway Molto chiaro. Grazie a tutti. Fino ad oggi avevo avuto ADSL su router (quindi il gateway era il router) e su modem USB che funzia esattamente come dite. Due eth e niente router mi avevano tratto in inganno. L'ultima cosa che vi chiedo, giusto per imparare la teoria: la connessione ppp mi assegna un ip con netmask 255.255.255.255, mentre le macchine interne hanno come netmask 255.255.255.0 e ip di classe 192.168.0.x Ci sono problemi? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
On Wed, 22 Jun 2005 17:06:55 +0200 Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > Ciao, ho appena messo su una nuova connessione ADSL via modem > ethernet. Con pppoeconf ho impegato circa 30 secondi ad adare online, > ma ora... > > La linea ADSL è connessa attraverso eth0, che pero' non ha indirizzo > IP. Quindi ho messo su una eth1. Come faccio a condividere la > connessione? Che cosa devo impostare come gateway di questa seconda > interfaccia? apt-get install ipmasq (se non hai troppe necessità di sicurezza) e vivi felice :-) > In pratica, dietro a questa eth1 ci sta la mia rete locale. i client dovranno utilizzare l'indirizzo di eth1 come gateway bye, -- Marco Bertorello System Administrator Linux Registered User #319921 pgpARAwngjhlG.pgp Description: PGP signature
Re: ADSL e iptables (2x eth)
> On 6/22/05, Giancarlo P. <[EMAIL PROTECTED]> wrote: > > > > > > > > La linea ADSL è connessa attraverso eth0, che pero' non ha indirizzo > > > IP. Quindi ho messo su una eth1. Come faccio a condividere la > > > connessione? Che cosa devo impostare come gateway di questa seconda > > > interfaccia? > > > > > > > Devi impostare il MASQUERADING via iptables. > > Leggiti questo documento > > http://www.netfilter.org/documentation/HOWTO/it/NAT-HOWTO.html > > > Si' certo. Pero' la eth1 dovra' pur aver un gateway, o no? > no, tieni presente che hai due schede di rete e il dafult gw della tua macchina, quando sei collegato in internet, e' sulla ppp0, cioe' sull'interfaccia esterna navighi vero ? quindi da qualche parte uscirai :-) prova a dare route -n da shell e vedrai... LoSpippolo La cocaina e' il modo che ha la natura per dirti che tu hai troppi soldi.
Re: ADSL e iptables (2x eth)
On 6/22/05, Giancarlo P. <[EMAIL PROTECTED]> wrote: > > > > > La linea ADSL è connessa attraverso eth0, che pero' non ha indirizzo > > IP. Quindi ho messo su una eth1. Come faccio a condividere la > > connessione? Che cosa devo impostare come gateway di questa seconda > > interfaccia? > > > > Devi impostare il MASQUERADING via iptables. > Leggiti questo documento > http://www.netfilter.org/documentation/HOWTO/it/NAT-HOWTO.html Si' certo. Pero' la eth1 dovra' pur aver un gateway, o no? -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: ADSL e iptables (2x eth)
> Ciao, ho appena messo su una nuova connessione ADSL via modem > ethernet. Con pppoeconf ho impegato circa 30 secondi ad adare online, > ma ora... > > La linea ADSL è connessa attraverso eth0, che pero' non ha indirizzo > IP. Quindi ho messo su una eth1. Come faccio a condividere la > connessione? Che cosa devo impostare come gateway di questa seconda > interfaccia? > > In pratica, dietro a questa eth1 ci sta la mia rete locale. > mi facci oun po' di pubblicita' :-) http://serverone.firenze.linux.it/pipermail/hack/2005-May/003336.html LoSpippolo I computer non sono intelligenti. Sono solamente convinti di esserlo.
