Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
Il 26-03-2024 08:25 Piviul ha scritto: non è che ne sappia un gran che ma per curiosità ci mandi l'output di: # update-alternatives --list iptables Era un problema di kernel. Non ho capito perchè, l'ultimo stabile, mi dava quel problema. Gli ho installato il 6.5 di bpo, e tutto è rientrato. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
On 3/25/24 17:08, Paride Desimone wrote: Il 25-03-2024 10:39 Piviul ha scritto: Comunque al di là dei miei dubbi se fossi in te partirei da qua: https://wiki.debian.org/iptables In bocca al lupo Già fatto, ma non cambia nulla. La cosa che mi lascia più perplesso è il fatto che la macchina nasce direttamente con bookworm su cui ho installato nextcloud e pivpn. Ora Pivpn, mi sta dando questi problemi su *tables. Inutile dire che ho disinstallato e reinstallato pivpn, *tables, ma nulla, l'errore rimane sempre lì. Sto letteralmente impazzendo a capire cosa possa essere, anche perché ho caricato gli sessi moduli che ho su un'altra macchina su cui funziona. non è che ne sappia un gran che ma per curiosità ci mandi l'output di: # update-alternatives --list iptables Grazie Piviul
Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
Il 25-03-2024 10:39 Piviul ha scritto: Comunque al di là dei miei dubbi se fossi in te partirei da qua: https://wiki.debian.org/iptables In bocca al lupo Già fatto, ma non cambia nulla. La cosa che mi lascia più perplesso è il fatto che la macchina nasce direttamente con bookworm su cui ho installato nextcloud e pivpn. Ora Pivpn, mi sta dando questi problemi su *tables. Inutile dire che ho disinstallato e reinstallato pivpn, *tables, ma nulla, l'errore rimane sempre lì. Sto letteralmente impazzendo a capire cosa possa essere, anche perché ho caricato gli sessi moduli che ho su un'altra macchina su cui funziona. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
On 3/23/24 09:52, Paride Desimone wrote: Il 22 marzo 2024 14:36:42 UTC, Piviul ha scritto: On 3/22/24 09:15, Paride Desimone wrote: Buongiorno a tutti. Ieri sera ho installato su una macchina pivpn. Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di diceva che il server mi rifiutava le connessioni. ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not supported. Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare ebtables, ho provato ad installare un kernel bpo, ed a fare il boot con un kernell < di 6.1.0-18-amd64. Niente da fare l'errore rimane sempre la. Qualcuno ha idea di cosa possa essere? Sul notebook che uso, nessun problema, quindi escludo si tratti di un bug di iptables, dato che su entrambi è installato debian stable. ma hai installato nftables? Piviul Ho anche provato, ma non cambia nulla Ciao Paride, non ricordo bene ma mi sembra che nel passaggio a debian 10, iptables sia diventato obsoleto e nelle release notes o nei change logs non ricordo, c'erano le informazioni su come utilizzare iptables in debian 10 (legacy mode oppure nativo nft). Io ricordo che seguii le informazioni e non trovai grosse difficoltà. Tutto questo per dire che una risposta "non cambia nulla" mi lascia perplesso, nftables sicuramente dovrebbe essere installato essendo raccomandato dal pacchetto iptables. Comunque al di là dei miei dubbi se fossi in te partirei da qua: https://wiki.debian.org/iptables In bocca al lupo Piviul
Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
Il 22 marzo 2024 14:36:42 UTC, Piviul ha scritto: >On 3/22/24 09:15, Paride Desimone wrote: >> Buongiorno a tutti. >> Ieri sera ho installato su una macchina pivpn. >> Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di diceva >> che il server mi rifiutava le connessioni. >> ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava >> funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not >> supported. >> Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare >> ebtables, ho provato ad installare un kernel bpo, ed a fare il boot con un >> kernell < di 6.1.0-18-amd64. >> Niente da fare l'errore rimane sempre la. >> Qualcuno ha idea di cosa possa essere? >> Sul notebook che uso, nessun problema, quindi escludo si tratti di un bug di >> iptables, dato che su entrambi è installato debian stable. > >ma hai installato nftables? > >Piviul > Ho anche provato, ma non cambia nulla -- Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.
Re: iptables/1.8.9 Failed to initialize nft: Protocol not supported
On 3/22/24 09:15, Paride Desimone wrote: Buongiorno a tutti. Ieri sera ho installato su una macchina pivpn. Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di diceva che il server mi rifiutava le connessioni. ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not supported. Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare ebtables, ho provato ad installare un kernel bpo, ed a fare il boot con un kernell < di 6.1.0-18-amd64. Niente da fare l'errore rimane sempre la. Qualcuno ha idea di cosa possa essere? Sul notebook che uso, nessun problema, quindi escludo si tratti di un bug di iptables, dato che su entrambi è installato debian stable. ma hai installato nftables? Piviul
iptables/1.8.9 Failed to initialize nft: Protocol not supported
Buongiorno a tutti. Ieri sera ho installato su una macchina pivpn. Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di diceva che il server mi rifiutava le connessioni. ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not supported. Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare ebtables, ho provato ad installare un kernel bpo, ed a fare il boot con un kernell < di 6.1.0-18-amd64. Niente da fare l'errore rimane sempre la. Qualcuno ha idea di cosa possa essere? Sul notebook che uso, nessun problema, quindi escludo si tratti di un bug di iptables, dato che su entrambi è installato debian stable. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Iptables e errori
Leonardo Boselli ha scritto: > Dope messo fail2ban [...] > e nel log ho trovato anche: > > Feb 04 18:08:58 h7136 sshd[1562780]: fatal: Timeout before authentication > for 180.101.88.224 port 33843 > > peerché un timeout da una macchina [che averebbe pure dovutop essere > bannata] appare come fatal ? fail2ban blocca, temporaneamente, un IP che ha cercato di connettersi, tramite brute force. Questo vuol dire che i primi X tentativi quell'IP li può fare, se sbaglia la password più di X volte, allora lo blocca... ed è per questo che vedi quel messaggio > http://i.trail.it ma ho sempre pensato che eri un amministratore di sistema e facevi hosting di macchine/servizi informatici... invece fai hosting di persone! Tutti a casa di Leonardo! :-D Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
Re: Iptables e errori
Mandi! Leonardo Boselli In chel di` si favelave... > Dope messo fail2ban vedo che da una certa sottortete arrivano la > generalità degli attacchi quindi ho aggiunto una regola: ma iptables mi 'aggiunto' in che senso? Hai aggiunto una rule di fail2ban, o hai fatto proprio 'iptables -A'?! > Chain f2b-sshd (1 references) > target prot opt source destination > REJECT 0-- 43.133.60.2510.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 36.110.228.254 0.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 223.17.0.181 0.0.0.0/0reject-with > icmp-port-unreachable > REJECT 0-- 120.48.9.61 0.0.0.0/0reject-with > icmp-port-unreachable > RETURN 0-- 0.0.0.0/00.0.0.0/0 > REJECT 0-- 180.101.88.0/21 0.0.0.0/0reject-with > icmp-port-unreachable Se hai fatti 'iptables -A' è normale perchè 'A' è 'APPEND'. Usa 'iptables -I', che inserisce in testa. -- Le camere deliberano lo stato di guerra e conferiscono al Governo i poteri necessari. (art. 78 Costituzione)
Re: Iptables e errori
Il 05/02/2024 09:08, Giuseppe Sacco ha scritto: Ciao Leonardo, Il giorno dom, 04/02/2024 alle 18.13 +0100, Leonardo Boselli ha scritto: [...] e quello che arriva da 180.101.88.0/21 continuo a trovarmelo nel log, forse perché la regola è finita dopo il return. come faccio a spostarla in modo che da quella rete ci sia sempre un reject ? [...] Penso che tu debba inserirle (-I) al posto di appenderle (-A) Sicuramente è da inserire. Inoltre consiglierei un DROP invece del reject, così il tentativo cade nel vuoto e l'attaccante non sa se effettivamente non c'è nulla o se lo hai filtrato. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Iptables e errori
Ciao Leonardo, Il giorno dom, 04/02/2024 alle 18.13 +0100, Leonardo Boselli ha scritto: > [...] > e quello che arriva da 180.101.88.0/21 continuo a trovarmelo nel log, > forse perché la regola è finita dopo il return. > come faccio a spostarla in modo che da quella rete ci sia sempre un reject > ? [...] Penso che tu debba inserirle (-I) al posto di appenderle (-A) Ciao, Giuseppe
Iptables e errori
Dope messo fail2ban vedo che da una certa sottortete arrivano la generalità degli attacchi quindi ho aggiunto una regola: ma iptables mi mostra: root@h7136:/etc/fail2ban# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination f2b-sshd 6-- 0.0.0.0/00.0.0.0/0multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain f2b-sshd (1 references) target prot opt source destination REJECT 0-- 43.133.60.2510.0.0.0/0reject-with icmp-port-unreachable REJECT 0-- 36.110.228.254 0.0.0.0/0reject-with icmp-port-unreachable REJECT 0-- 223.17.0.181 0.0.0.0/0reject-with icmp-port-unreachable REJECT 0-- 120.48.9.61 0.0.0.0/0reject-with icmp-port-unreachable RETURN 0-- 0.0.0.0/00.0.0.0/0 REJECT 0-- 180.101.88.0/21 0.0.0.0/0reject-with icmp-port-unreachable e quello che arriva da 180.101.88.0/21 continuo a trovarmelo nel log, forse perché la regola è finita dopo il return. come faccio a spostarla in modo che da quella rete ci sia sempre un reject ? e nel log ho trovato anche: Feb 04 18:08:58 h7136 sshd[1562780]: fatal: Timeout before authentication for 180.101.88.224 port 33843 peerché un timeout da una macchina [che averebbe pure dovutop essere bannata] appare come fatal ? -- Leonardo Boselli Firenze, Toscana, Europa http://i.trail.it
Re: iptables
On 26/10/16 18:51, Pol Hallen wrote: 'sera a tutti :-) una situazione comune: eth0 192.168.1/24 eth1 192.168.2/24 attualmente ho: iptables -A FORWARD -s 10.192.168.2/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2/24 -j ACCEPT e così anche per eth0 così eth0 e eth1 si vedono (e così tutti i client) mi chiedo se ci sia un modo per far si che soltanto eth0 possa vedere eth1 e non vice-versa (anche se mi viene in mente che: come tornano indietro i pacchetti se blocco eth0 da eth1)? di fatto vorrei escludere eth1 da poter accedere a eth0 ma permettere la situazione inversa qualche consiglio/suggerimento? Non so se sia la soluzione migliore, ma puoi fare SNAT dal lato da cui vuoi l'accesso e niente dall'altro. federico -- Federico Di Gregorio federico.digrego...@dndg.it DNDG srl http://dndg.it Il panda ha l'apparato digerente di un carnivoro (e.g., di un orso). Il panda ha scelto di cibarsi esclusivamente di germogli di bambù. Quindi, il panda è l'unico animale vegano del pianeta. Il panda merita di estinguersi. -- Maria, Alice, Federico
iptables
'sera a tutti :-) una situazione comune: eth0 192.168.1/24 eth1 192.168.2/24 attualmente ho: iptables -A FORWARD -s 10.192.168.2/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2/24 -j ACCEPT e così anche per eth0 così eth0 e eth1 si vedono (e così tutti i client) mi chiedo se ci sia un modo per far si che soltanto eth0 possa vedere eth1 e non vice-versa (anche se mi viene in mente che: come tornano indietro i pacchetti se blocco eth0 da eth1)? di fatto vorrei escludere eth1 da poter accedere a eth0 ma permettere la situazione inversa qualche consiglio/suggerimento? grazie Pol
Un chiarimento su IPTABLES
Buongiorno a tutti, mi scuso in anticipo per la domanda banale ma sono completamente frastornato per vari motivi e non riesco a fare il punto. La situazione e' la seguente: eth0 --> interfaccia su internet $EXTIF IP pubblico statico su eth0 monto eth0:0 $WEBIF e eth0:1 $VIDEO anche loro con IP statico e pubblico eth1 --> interfaccia sulla lan $INTIF IP statico classe c 192.168.2.0/24 su eth1 monto eth1:0 che e' il gateway della LAN eth3 --> interfaccia in DMZIF IP statico classe c 192.168.200.0/24 se io imposto una regola di questo tipo /sbin/iptables -N NOSPOOF $IPT -A NOSPOOF -i $EXTIF -s 192.168.0.0/16 -j DROP e via dicendo per le altre classi ha senso ripetere la regola per $WEBIF e $VIDEO ? in effetti le interfacce virtuali mi servono per estrarre l'IP pubblico da usare in seguito quindi se ragiono correttamente (e ripeto NON e' il periodo migliore per farlo) se blocco le subnet sull'interfaccia fisica esposta di conseguenza anche le interfacce virtuali dovrebbero comportarsi allo stesso modo. O sto cercando farfalle? Grazie in anticipo Cordiali saluti -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Rotte, Iptables e shorewall
Il 02/03/2016 13:40, Mario Vittorio Guenzi ha scritto: Buongiorno a tutti, ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che fanno da firewall gateway ognuna su una linea diversa(ovviamente). Le 2 macchine hanno IP interno rispettivamente perseo 192.168.2.240 sangiorgio 192.168.2.237 sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway aziendale per Internet, la pacchina Master e' perseo, e sangiorgio interviene solo se dall'altra parte non c'e' linea. Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro, per mia comodita' ho deciso che il traffico VPN deve passare tutto su sangiorgio (macchina slave). Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira, molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al cui confronto Godzilla e' un simpatico peluche. Vorrei passare a shorewall e avere una gestione un po piu' "semplice" Attualmente ottengo il risultato voluto con un "pacchetto" di regole come questo: $IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \ -p tcp --dport 775 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT --to-destination $CHIMERA:775 $IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT $IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP l'ultima regola in particolare e' quella che mi fa si che tutto il traffico vpn passi da dove voglio io Come faccio una cosa del genere su shorewall (ammesso si possa fare)? Grazie in anticipo. Shorewall ha regole sia per dnat che per snat. http://shorewall.net/NAT.htm Luciano
Rotte, Iptables e shorewall
Buongiorno a tutti, ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che fanno da firewall gateway ognuna su una linea diversa(ovviamente). Le 2 macchine hanno IP interno rispettivamente perseo 192.168.2.240 sangiorgio 192.168.2.237 sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway aziendale per Internet, la pacchina Master e' perseo, e sangiorgio interviene solo se dall'altra parte non c'e' linea. Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro, per mia comodita' ho deciso che il traffico VPN deve passare tutto su sangiorgio (macchina slave). Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira, molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al cui confronto Godzilla e' un simpatico peluche. Vorrei passare a shorewall e avere una gestione un po piu' "semplice" Attualmente ottengo il risultato voluto con un "pacchetto" di regole come questo: $IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \ -p tcp --dport 775 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT --to-destination $CHIMERA:775 $IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT $IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP l'ultima regola in particolare e' quella che mi fa si che tutto il traffico vpn passi da dove voglio io Come faccio una cosa del genere su shorewall (ammesso si possa fare)? Grazie in anticipo. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Script iptables /etc/ppp
Buongiorno a tutti volevo un chiarimento, leggendo la documentazione del pacchetto ppp, ho creato uno script in /etc/ppp e l'ho nominato ip-pre-up p.s. Nella directory /etc/ppp il file ip-pre-up non esisteva , l'ho creato ex-novo Creato lo script iptables , ho reso lo script eseguibile (chmod + x ...) il tutto funziona, mi chiedevo pero' se è corretta la procedura n.b. tenete presente che ho un modem ethernet connesso alla wan con pppoeconf Vi cito anche una parte del README del pacchetto ppp What was new in ppp-2.4.4. ** * Pppd will now run /etc/ppp/ip-pre-up, if it exists, after creating the ppp interface and configuring its IP addresses but before bringing it up. This can be used, for example, for adding firewall rules for the interface. Saluti ed attendo vs. opinioniGIAN
Re: Filtrare IP non Italiani [IPTABLES]
Il giorno 8 gennaio 2015 21:07, Giulio Turetta giu...@sviluppoweb.eu ha scritto: o usare il port-knocking¹? Bello questo, non lo conoscevo Grazie a tutti dei suggerimenti, intanto cambio le porte di dft e poi mi studio sto port-knocking. Ciao -- Riccardo Brazzale
Re: Filtrare IP non Italiani [IPTABLES]
Mauro Il giorno 08/gen/2015, alle ore 23:22, dea d...@corep.it ha scritto: Praticamente solo gli indirizzi che risolvono come da elenco, hanno accesso alla 22. Permettetemi, ma visto che il trucco funzia, tanto vale usarlo: Premettendo che il tentativo di accedere alla porta 22 e' per lo più condotto da script automatizzati (basta analizzare i log per rendersene conto), il semplice cambio di porta pulisce di molto i log, ma proprio tanto. Senza stare li a cercare di chiudere questo o quel range di ip, che trovo altamente inutile ( basta che una sottorete nostrana venga appestata fa bot e potenzialmente siamo daccapo), bastano pochi accorgimenti: orta non standard, Blocco accesso a root Password serie e per la miseria, cambiata regolarmente Se possibile, uso anche di certificati Abilitazione solo della versione 2 del protocollo. Vedrai che fail2ban potra' prendersi un po' di riposo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21f74c07-dccf-414f-8105-f15ab9244...@majaglug.net
Re: Filtrare IP non Italiani [IPTABLES]
Buonasera lista ! E' un discorso già sollevato in passato ma lo rispolvero. Per limitare i tentativi di connessione sulla porta 22 da persone non autorizzate (ok, disattivo l'autenticazione con password e gestisco solo l'accesso via certificato, ma non mi piace lo stesso lasciare la 22 aperta), ormai da tempo uso questo sistema: 1) Le macchine autorizzate alla connessione sulla porta 22 dei server hanno montato un demone che aggiorna una entry dns dinamico. 2) Sui server, uno script in cron risolve l'IP delle entry ed abilita la porta 22 via iptables a quegli ip. Praticamente solo gli indirizzi che risolvono come da elenco, hanno accesso alla 22. Ciao Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150108221718.m...@corep.it
Re: Filtrare IP non Italiani [IPTABLES]
On 07/01/2015 12:17, Riccardo Brazzale wrote: Vi chiedo se conoscete un modo per far si che le connessioni vengano accettate solo per IP Italiani o al massimo Europei, tanto per limitare l'accesso ai paesi che non mi interessano. ora non so che sito web o servizio metti a disposizione, ma così escludi tutti quelli che usano tor o simile, non mi sembra una bella cosa. Inoltre scoperto questo tuo filtraggio, se qualcuno vuole attaccarti è sufficiente che usi uno degli innumerevoli proxy server disponibili in Italia/Europa... così danneggi solo chi vuole usare i tuoi servizi. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54aed354.7000...@gmail.com
Re: Filtrare IP non Italiani [IPTABLES]
Il giorno 8 gennaio 2015 19:58, Davide Prina davide.pr...@gmail.com ha scritto: ora non so che sito web o servizio metti a disposizione, ma così escludi tutti quelli che usano tor o simile, non mi sembra una bella cosa. Ciao Davide, E' ssh, ritengo che le password siano massicce ma mi rompe vedere continue mail da fail2ban che dice ho bannato questo, ho bannato quello e tutti questi sono personaggi extraeuropa. Semplicemente non voglio che neanche ci provino e sto cercando un sistema. A quelle macchine devo potermi collegare solo io e chi decido io. Tutto qua. Ok, la storia dei proxy, se vogliono farmi del male magari ci riescono anche, ma sono convito che tanti fanno semplici prove tanto per vedere cosa succede. Grazie! -- Riccardo Brazzale
Re: Filtrare IP non Italiani [IPTABLES]
On 08/01/2015 21:07, Giulio Turetta wrote: Forse dico una cosa scontata. Non usare la porta di default o usare il port-knocking¹? sì ottima scelta :-) magari usare anche una coppia di chiavi con password, così aumenti la sicurezza e lasci fuori tutti i non autorizzati On 08/01/2015 20:52, Riccardo Brazzale wrote: E' ssh, ritengo che le password siano massicce ma mi rompe vedere continue mail da fail2ban che dice ho bannato questo, ho bannato quello e tutti questi sono personaggi extraeuropa. Semplicemente non voglio che neanche ci provino e sto cercando un sistema. A quelle macchine devo potermi collegare solo io e chi decido io. Tutto qua. infatti, se è ssh privato puoi fare quello che vuoi. Io pensavo fosse un sito web o qualcosa aperto ad un determinato pubblico italiano/europeo. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Sistema operativo: http://www.it.debian.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54aee863.5020...@gmail.com
Re: Filtrare IP non Italiani [IPTABLES]
Forse dico una cosa scontata. Non usare la porta di default o usare il port-knocking¹? Potrebbe essere più efficace. Personalmente non lascio mai la porta di default per SSH: questo non ti protegge da un attacco diretto ma ti protegge dal rumore di fondo dello scan-and-try massivo. Il port-knocking aggiunge un tocco di classe ;-) ¹ http://it.wikipedia.org/wiki/Port_knocking On 08/01/2015 20:52, Riccardo Brazzale wrote: Il giorno 8 gennaio 2015 19:58, Davide Prina davide.pr...@gmail.com mailto:davide.pr...@gmail.com ha scritto: ora non so che sito web o servizio metti a disposizione, ma così escludi tutti quelli che usano tor o simile, non mi sembra una bella cosa. Ciao Davide, E' ssh, ritengo che le password siano massicce ma mi rompe vedere continue mail da fail2ban che dice ho bannato questo, ho bannato quello e tutti questi sono personaggi extraeuropa. Semplicemente non voglio che neanche ci provino e sto cercando un sistema. A quelle macchine devo potermi collegare solo io e chi decido io. Tutto qua. Ok, la storia dei proxy, se vogliono farmi del male magari ci riescono anche, ma sono convito che tanti fanno semplici prove tanto per vedere cosa succede. Grazie! -- Riccardo Brazzale attachment: giulio.vcf
Filtrare IP non Italiani [IPTABLES]
Ciao a tutti, mi ritrovo (credo come molti) un sacco di ip bannati da fail2ban. Analizzando questi indirizzi, mi accorgo che la maggior parte arriva da Cina, Hong Kong, Sud America, qualcosa dal Nord America, un po da Romania e Russia. Vi chiedo se conoscete un modo per far si che le connessioni vengano accettate solo per IP Italiani o al massimo Europei, tanto per limitare l'accesso ai paesi che non mi interessano. Grazie.
Re: Filtrare IP non Italiani [IPTABLES]
Il giorno 7 gennaio 2015 17:29, Simone Rossetto simro...@gmail.com ha scritto: Non so quanto siano affidabili o complete, ma ci sono liste degli IP assegnati a provider italiani Grazie! Vedo cosa riesco a fare. -- Riccardo Brazzale
Re: Filtrare IP non Italiani [IPTABLES]
Ciao Riccardo Vi chiedo se conoscete un modo per far si che le connessioni vengano accettate solo per IP Italiani o al massimo Europei, tanto per limitare l'accesso ai paesi che non mi interessano. Non so quanto siano affidabili o complete, ma ci sono liste degli IP assegnati a provider italiani tipo [1] e [2], puoi settare il firewall per accettare connessioni solo da quelli... Ciao Simone [1] http://www.nirsoft.net/countryip/it.html [2] http://www.ipdeny.com/ipblocks/data/countries/it.zone
Re: iptables... cosigli per server web
Il 19/12/2014 14:07, MaX ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX apt-get install shorewall Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5499335c.5080...@modula.net
Re: iptables... cosigli per server web
vedo che ti è piaciuto vestacp :) io mi ci sono trovato benissimo. a parte i suggerimenti gia dati ti consiglio anche di scaricare le blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip conosciuti che fanno solo danno puoi usare wizcraft, blocklist.de ecc ecc anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato e meno icnasinato ad ora di fare regole] riguard ola regola: basta avere un file con i vari ip [che scarichi dal sito] e poi farti uno script tipo #!/bin/sh start(){ echo start BLACKFILE=/root/blacklist_etc/blacklist.txt DROPRULE=/root/blacklist_etc/blacklistdroprule.txt BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt; $DROPRULE wget $BLOCKLIST_URL -O $BLACKFILE if [ $? -eq 0 ] then for blkip in `cat $BLACKFILE`; do echo ACCESSO NEGATO A: $blkip /sbin/iptables -D INPUT -t filter -s $blkip -j DROP /sbin/iptables -A INPUT -t filter -s $blkip -j DROP echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE done else echo $BLOCKLIST_URL ERROR fi } stop(){ DROPRULE=/root/blacklist_etc/blacklistdroprule.txt echo stop cat $DROPRULE|while read resetrule; do echo $resetrule $($resetrule) done } restart(){ stop sleep 5 start } case $1 in start) start ;; stop) stop ;; restart) restart ;; *) echo Usage: {start|stop|restart} exit 1 esac spero ti sia d'aiuto ciao Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com -- firegarden.co SystemSecurity
Re: iptables... cosigli per server web
bellino il lo script per il servizio :D di metto le regole di cui sopra e ci aggiungo i blacklist.txt ciao MaX Il 22/12/14, Gionni FireGardenfiregarden...@gmail.com ha scritto: vedo che ti è piaciuto vestacp :) io mi ci sono trovato benissimo. a parte i suggerimenti gia dati ti consiglio anche di scaricare le blacklist dai siti appositi e farti una regola che ti blocca tutti gli ip conosciuti che fanno solo danno puoi usare wizcraft, blocklist.de ecc ecc anche sshguard è ottimo [come fai2ban, ma molto piu avanzato ed aggiornato e meno icnasinato ad ora di fare regole] riguard ola regola: basta avere un file con i vari ip [che scarichi dal sito] e poi farti uno script tipo #!/bin/sh start(){ echo start BLACKFILE=/root/blacklist_etc/blacklist.txt DROPRULE=/root/blacklist_etc/blacklistdroprule.txt BLOCKLIST_URL=http://lists.blocklist.de/lists/all.txt; $DROPRULE wget $BLOCKLIST_URL -O $BLACKFILE if [ $? -eq 0 ] then for blkip in `cat $BLACKFILE`; do echo ACCESSO NEGATO A: $blkip /sbin/iptables -D INPUT -t filter -s $blkip -j DROP /sbin/iptables -A INPUT -t filter -s $blkip -j DROP echo /sbin/iptables -D INPUT -t filter -s $blkip -j DROP $DROPRULE done else echo $BLOCKLIST_URL ERROR fi } stop(){ DROPRULE=/root/blacklist_etc/blacklistdroprule.txt echo stop cat $DROPRULE|while read resetrule; do echo $resetrule $($resetrule) done } restart(){ stop sleep 5 start } case $1 in start) start ;; stop) stop ;; restart) restart ;; *) echo Usage: {start|stop|restart} exit 1 esac spero ti sia d'aiuto ciao Il giorno 19 dicembre 2014 14:07, MaX maxlinux2...@gmail.com ha scritto: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com -- firegarden.co SystemSecurity -- ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtc4b+xcj_kubarbio1b8a058byb5v_avkj4ngk0si...@mail.gmail.com
iptables... cosigli per server web
coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: iptables --flush iptables --delete-chain iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare che ne pensate? è sufficiente? ciao, MaX -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caeyavmtcx7yx8wge-6o4j_u6kzrwb16sgysg96-jwyxrja1...@mail.gmail.com
Re: iptables... cosigli per server web
On Fri, Dec 19, 2014 at 02:07:57PM +0100, MaX wrote: coem da soggetto... il server web da servizio web sulla porta 80, accedo a lui via ssh (22) e do accesso sftp ai webmaster... che per il momento sono ancora io :) sto usando vestcp che usa la porta 8083 non conosco questo vestcp (che secondo google è vestacp...) quindi non so se hai bisogno di cose strane per questo. stavo pensando quindi di aprire solo la 22, 80 e 8083 e chiudere tutto il resto... qualche cosa tipo: decisamente. c'è anche chi consiglia di mettere in ascolto ssh su una porta non standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più, ma è ok, imho. iptables --flush iptables --delete-chain ci sono anche -F e -X al posto di questi comandi lunghissimi :P iptables -P INPUT DROP io sono sempre stato dell'idea che è meglio droppare tutto alla fine. tipo, policy ACCEPT, un po' di regole su cosa accettare, e poi '-A INPUT -j DROP'. mi son salvato in diverse occasioni in cui mi son chiuso fuori per sbaglio, così (invece di dovermi connettere da console) iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT iptables -A INPUT -p tcp --dport 8083 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT really, '-m state --state NEW -s 0.0.0.0/0' è superfluo. il server deve poter inviare la posta interna, ma non da servizio mail agli utenti. non c' è servizio https il server mysql è solo per i siti (phpbb) interni... dall'esterno non si devono poter collegare quindi non serve fare altro (dato che su lo accetti tutto), e cose come connettersi a mysql possono avvenire via socket invece che rete. che ne pensate? è sufficiente? sì, direi che è ok. Ti ricordo di installare anche fail2ban, dato che hai ssh sulla 22 (e in ogni caso...) -- regards, Mattia Rizzolo GPG Key: 4096R/B9444540 http://goo.gl/I8TMB more about me: http://mapreri.org Launchpad User: https://launchpad.net/~mapreri Ubuntu Wiki page: https://wiki.ubuntu.com/MattiaRizzolo signature.asc Description: Digital signature
Re: iptables... cosigli per server web
Ciao On Fri, 19 Dec 2014 14:07:57 +0100 MaX maxlinux2...@gmail.com wrote: che ne pensate? è sufficiente? Per i server in DMZ io di solito aggiungo (all'inizio) # Drop malformed packets, invalid fragments, Xmas, NULL packets and check SYN -A INPUT -i eth0 -m conntrack --ctstate INVALID -j DROP -A INPUT -i eth0 -f -j DROP -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # IMCP -A INPUT -i eth0 -p icmp -m length --length 128:65535 -j DROP -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type 11 -j ACCEPT ...e in fondo # Default behavior -A INPUT -i eth0 -p tcp -j REJECT --reject-with tcp-reset -A INPUT -i eth0 -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -j REJECT --reject-with icmp-proto-unreachable -A INPUT -m limit --limit 5/min -j LOG --log-prefix [iptables] INPUT Drop: --log-level 7 -- Gabriele Ficarelli - Jon GPG: A5D862D7 pgpnRtVcWEptO.pgp Description: OpenPGP digital signature
Re: regola iptables per rygel (server dlna) [RISOLTO]
ciao, la ps3 non ha anche una wlan? sei riuscito a fare la stessa cosa anche con il wireless? Un saluto Beppe 2014-11-06 16:16 GMT+01:00 tar...@aruba.it tar...@aruba.it: a futura memoria se può essere utile a qualcuno. rygel permette di impostare un server dlna per condividere i file multimediali con la playstation3 collegata tramite lan. 1. avviare il pc con la connessione di rete condivisa (se usate network-manager è molto facile) 2. avviare la ps3 collegata al pc con cavo rj45 incrociato (ovviamente nelle impostazioni di rete selezionare la connessione lan e abilitare i server multimediali) 3. impostare la regola iptables #iptables -A INPUT -s 10.42.0.0/24 -i eth0 -p tcp --dport 1070 -j ACCEPT (dove 10.42.0.0/24 è la sottorete cui è collegata la ps3; 1070 è la porta impostata manualmente nel file ~/.config/rygel.conf) (consiglio di installare il pacchetto iptables-persistent utilissimo per conservare le regole in automatico) 4. avviare rygel da riga di comando. nella ps3 verrà rilevato il server multimediale e aggiunto alle categorie foto, musica, video. fine l'aspetto scomodo è che il server rygel va avviato a connessione già effettuata altrimenti il rilevamento da parte della ps3 fallisce. (io pensavo di fare bene ad avviare prima il server rygel e successivamente la ps3 per connettergliela, ma in questo modo non funziona). cercherò ora il modo di causare un riavvio di rygel quando viene rilevata la connessione della ps3. se avete consigli in proposito o metodi migliori per fare la stessa cosa, segnalatemelo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b90c4.1050...@aruba.it -- *CANTANNA Giuseppe* giuseppe.canta...@postacertificata.gov.it giuseppe.canta...@glugto.org canta...@glugto.org canta...@gmail.com canta...@gmail.com giuseppe.canta...@libreitalia.it BepOS - Linux user n. 502620 registered on http://counter.li.org/ *Per favore non inviatemi allegati in formato MS Office.Utilizzate alternativamente documenti in formato OpenDocument.* http://en.wikipedia.org/wiki/OpenDocument http://it.wikipedia.org/wiki/OpenDocument **http://www.documentfoundation.org/ * *https://it.libreoffice.org/
Re: regola iptables per rygel (server dlna) [RISOLTO]
Il 09/11/2014 09:24, Beppe Cantanna ha scritto: ciao, la ps3 non ha anche una wlan? sei riuscito a fare la stessa cosa anche con il wireless? no, non ho provato con la wlan. mi era comodo col cavo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545f8716.6060...@aruba.it
regola iptables per rygel (server dlna)
salve a tutti. ho collegato la ps3 al pc per condividere la connessione e i file multimediali. per la connessione tutto ok. per i file ho attivato rygel e la regola iptables -A INPUT -s 10.42.0.0/24 -i eth0 -j ACCEPT non è un po' troppo permissiva? è meglio aggiungere qualche limite? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b77e9.3050...@aruba.it
Re: regola iptables per rygel (server dlna)
Inviato da iPad Il giorno 06/nov/2014, alle ore 14:30, tar...@aruba.it tar...@aruba.it ha scritto: per la connessione tutto ok. per i file ho attivato rygel e la regola iptables -A INPUT -s 10.42.0.0/24 -i eth0 -j ACCEPT non è un po' troppo permissiva? è meglio aggiungere qualche limite? Solo un po'? Hai detto che tutta la sottorete 10.42.0.0/24 puo' accedere a tutte le porte della macchina sull'interfaccia eth0. Magari puoi specificar con -p e --dport una porta specifica. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/e10eb0eb-923d-47de-a40d-9eb805910...@majaglug.net
Re: regola iptables per rygel (server dlna)
Il 06/11/2014 14:39, Mauro ha scritto: Inviato da iPad Il giorno 06/nov/2014, alle ore 14:30, tar...@aruba.it tar...@aruba.it ha scritto: per la connessione tutto ok. per i file ho attivato rygel e la regola iptables -A INPUT -s 10.42.0.0/24 -i eth0 -j ACCEPT non è un po' troppo permissiva? è meglio aggiungere qualche limite? Solo un po'? Hai detto che tutta la sottorete 10.42.0.0/24 puo' accedere a tutte le porte della macchina sull'interfaccia eth0. Magari puoi specificar con -p e --dport una porta specifica. ma il filtro -p all non funziona più? se lo imposto non riconosce più la regola. proverò con entrambi tcp e udp sulla porta del server. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b8850.1050...@aruba.it
Re: regola iptables per rygel (server dlna) [RISOLTO]
a futura memoria se può essere utile a qualcuno. rygel permette di impostare un server dlna per condividere i file multimediali con la playstation3 collegata tramite lan. 1. avviare il pc con la connessione di rete condivisa (se usate network-manager è molto facile) 2. avviare la ps3 collegata al pc con cavo rj45 incrociato (ovviamente nelle impostazioni di rete selezionare la connessione lan e abilitare i server multimediali) 3. impostare la regola iptables #iptables -A INPUT -s 10.42.0.0/24 -i eth0 -p tcp --dport 1070 -j ACCEPT (dove 10.42.0.0/24 è la sottorete cui è collegata la ps3; 1070 è la porta impostata manualmente nel file ~/.config/rygel.conf) (consiglio di installare il pacchetto iptables-persistent utilissimo per conservare le regole in automatico) 4. avviare rygel da riga di comando. nella ps3 verrà rilevato il server multimediale e aggiunto alle categorie foto, musica, video. fine l'aspetto scomodo è che il server rygel va avviato a connessione già effettuata altrimenti il rilevamento da parte della ps3 fallisce. (io pensavo di fare bene ad avviare prima il server rygel e successivamente la ps3 per connettergliela, ma in questo modo non funziona). cercherò ora il modo di causare un riavvio di rygel quando viene rilevata la connessione della ps3. se avete consigli in proposito o metodi migliori per fare la stessa cosa, segnalatemelo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b90c4.1050...@aruba.it
Demone per modifica dinamica regole iptables (?)
Buongiorno lista ! Una domanda/curiosità... Sui firewall uso tipicamente PFSense (BSD 8) e quel firewall ha una funzione che mi piace davvero (una delle tante), quella di poter introdurre nelle regole un ALIAS di tipo IP che punti ad una entry DNS. Ogni x di tempo va a risolvere quell'ALIAS e va a modificare dinamicamente le regole. Lo trovo davvero comodo per aggiungere uno strato di protezione ulteriore. Acquisto diverse entry tipo DynDNS, monto i client sui portatili (telefoni, ecc) e permetto alle loro entry di accedere ad alcuni servizi. Quando il portatile cambia rete automaticamente il firewall permette al nuovo IP di accedere. Una volta facevo la stessa cosa in Linux usando uno script davvero semplice messo in cron stretto. Magari esiste qualcosa di fatto meglio, un demone ben fatto che vada ad alterare le regole IPTables in ragione opportuna in seguito alla risoluzione di entry DNS (risoluzioni che cambiano di frequente per loro natura). E' una curiosità Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140919071612.m84...@corep.it
krfb krdc iptables porta 5900
debian stable 64bit kde sto cercando di far connettere due macchine per condividere il desktop. pc locale: connessione con krdc ps remoto: invito personale di krfb credo che il problema sia nelle regole iptables dell'host :INPUT DROP :FORWARD DROP :OUTPUT ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT come faccio ad impostare la regola per la connessione remota? grazie -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54058505.3010...@email.it
Re: krfb krdc iptables porta 5900
sto cercando di far connettere due macchine per condividere il desktop. pc locale: connessione con krdc ps remoto: invito personale di krfb credo che il problema sia nelle regole iptables dell'host :INPUT DROP :FORWARD DROP :OUTPUT ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT come faccio ad impostare la regola per la connessione remota? grazie iptables -A INPUT -p tcp --dport 5900 -j ACCEPT Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1409658722.19687.yahoomail...@web173003.mail.ir2.yahoo.com
Re: krfb krdc iptables porta 5900
invito personale di krfb come faccio ad impostare la regola per la connessione remota? grazie iptables -A INPUT -p tcp --dport 5900 -j ACCEPT Walter perfetto, funziona. grazie mille. ps esiste qualche interfaccia grafica decente per impostare le regole del firewall? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5405bd8a.5060...@email.it
Tracciare pacchetti attraverso iptables
Qualcuno sa se esiste un meccanismo, per tracciare quali catene di iptables attraversa un pacchetto ? Grazie Walter -- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. http://oinophilos.blogspot.com/
Re: Tracciare pacchetti attraverso iptables
Il Wed, 12 Mar 2014 12:11:47 + (GMT), Walter Valenti scrisse Qualcuno sa se esiste un meccanismo, per tracciare quali catene di iptables attraversa un pacchetto ? Grazie Walter Ciao Walter Io uso come debug, quando mi serve, la direttiva TRACE (-j TRACE) Ti trovi in /var/log/syslog qualcosa del tipo: TRACE: filter:INPUT:rule:12 Ma magari volevi qualcosa di più integrato... CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140312122929.m70...@corep.it
Re: Tracciare pacchetti attraverso iptables
Qualcuno sa se esiste un meccanismo, per tracciare quali catene di iptables attraversa un pacchetto ? Grazie Walter Ciao Walter Io uso come debug, quando mi serve, la direttiva TRACE (-j TRACE) Ti trovi in /var/log/syslog qualcosa del tipo: TRACE: filter:INPUT:rule:12 Ma magari volevi qualcosa di più integrato... Sì. Purtroppo le regole non le scriviamo noi a mano, ma il meccanismo di networking di openstack. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1394628675.39559.yahoomail...@web173004.mail.ir2.yahoo.com
Re: Tracciare pacchetti attraverso iptables
Walter Valenti writes: Sì. Purtroppo le regole non le scriviamo noi a mano, ma il meccanismo di networking Che problema avete? -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21280.23526.230390.97...@mail.eng.it
Re: Tracciare pacchetti attraverso iptables
- Messaggio originale - Da: Gian Uberto Lauri sa...@eng.it A: dea d...@corep.it; debian-italian debian-italian@lists.debian.org Cc: Inviato: Mercoledì 12 Marzo 2014 14:06 Oggetto: Re: Tracciare pacchetti attraverso iptables Walter Valenti writes: Sì. Purtroppo le regole non le scriviamo noi a mano, ma il meccanismo di networking Che problema avete? Stiamo provando a vedere se si riesce a fare una rete multilivello. In pratica tre reti con due router. Ho dovuto aggiungere nei namespace dei router, i default router, ma questo non risolve il problema. rete1 -- routerA -- rete2 -- router B -- rete3 In pratica della rete1 cerco di pingare l'interfaccia in rete3 del routerB, mi ritrovo che il l'echo request arriva a destinazione, ma a questo punto l'interfaccia di destinazione fa una richiesta ARP chiedendo direttamente chi sia la sorgente che pinga. L'idea è che ci sia qualche regola scritta dall'l3-agent che fa casino. Per questo volevamo tracciare i pacchetti. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1394631430.76418.yahoomail...@web173003.mail.ir2.yahoo.com
Re: Tracciare pacchetti attraverso iptables
Stiamo provando a vedere se si riesce a fare una rete multilivello. In pratica tre reti con due router. Ho dovuto aggiungere nei namespace dei router, i default router, ma questo non risolve il problema. rete1 -- routerA -- rete2 -- router B -- rete3 In pratica della rete1 cerco di pingare l'interfaccia in rete3 del routerB, mi ritrovo che il l'echo request arriva a destinazione, ma a questo punto l'interfaccia di destinazione fa una richiesta ARP Ammetto che la cosa è un po' oltre le mie (limitate) skill sistemistiche, ma a naso fai un ARP request se sei convinto di essere nella stessa rete del destinatario... L'address di partenza che arriva all'interfacciadi router B su rete3 ha lo ip corretto? -- Gian Friends will be friends right to the end! -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21280.26307.540613...@mail.eng.it
Re: Tracciare pacchetti attraverso iptables
Stiamo provando a vedere se si riesce a fare una rete multilivello. In pratica tre reti con due router. Ho dovuto aggiungere nei namespace dei router, i default router, ma questo non risolve il problema. rete1 -- routerA -- rete2 -- router B -- rete3 In pratica della rete1 cerco di pingare l'interfaccia in rete3 del routerB, mi ritrovo che il l'echo request arriva a destinazione, ma a questo punto l'interfaccia di destinazione fa una richiesta ARP Ammetto che la cosa è un po' oltre le mie (limitate) skill sistemistiche, ma a naso fai un ARP request se sei convinto di essere nella stessa rete del destinatario... Sì è molto strano. Una richeista ARP non la si fa verso altre reti. L'address di partenza che arriva all'interfacciadi router B su rete3 ha lo ip corretto? Sì l'ip è corretto. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1394632772.56386.yahoomail...@web173001.mail.ir2.yahoo.com
Re: Tracciare pacchetti attraverso iptables
Walter Valenti waltervale...@yahoo.it wrote: rete1 -- routerA -- rete2 -- router B -- rete3 In pratica della rete1 cerco di pingare l'interfaccia in rete3 del routerB, mi ritrovo che il l'echo request arriva a destinazione, ma a questo punto l'interfaccia di destinazione fa una richiesta ARP chiedendo direttamente chi sia la sorgente che pinga. Se in rete3 vedi un ARP request, vuol dire che pensa che l'indirizzo in rete1 sia nella stessa netmask. Se quelli sono effettivamente dei router (e non degli switch) e le subnet sono divise correttamente, questo è sbagliato. Controlla che: * le netmask siano delle dimensioni corrette su ogni interfaccia * le subnet sui vari tronconi non siano sovrapposte Non sembra molto un problema di iptables, quanto più che altro di routing. Ciao, Luca -- .''`. | ~[ Luca BRUNO ~ (kaeso) ]~ : :' : | Email: lucab (AT) debian.org ~ Debian Developer `. `'` | GPG Key ID: 0x3BFB9FB3 ~ Free Software supporter `-| HAM-radio callsign: IZ1WGT ~ Networking sorcerer signature.asc Description: PGP signature
tcpdump e iptables
Cercando in giro per il web sembrerebbe che tcpdump (o meglio libpcap) si pone la scheda fisica e iptables. Quindi qualunque pacchetto in INGRESSO sulla macchina può essere sniffato, indipendentemente dalle regole di iptables. Sto capendo male io? Walter -- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1384256965.28331.yahoomail...@web171401.mail.ir2.yahoo.com
Re: tcpdump e iptables
On 12/11/2013 12:49, Walter Valenti wrote: Cercando in giro per il web sembrerebbe che tcpdump (o meglio libpcap) si pone la scheda fisica e iptables. Quindi qualunque pacchetto in INGRESSO sulla macchina può essere sniffato, indipendentemente dalle regole di iptables. Sto capendo male io? Credo che metta la schema in modalità promiscuous e prenda direttamente i frame ethernet a basso livello, prima che entrino dentro iptables. Quindi qualsiasi pacchetto è sniffato, si. *Credo*. federico -- Federico Di Gregorio federico.digrego...@dndg.it Di Nunzio Di Gregorio srl http://dndg.it There's no certainty - only opportunity. -- V -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52822298.9010...@dndg.it
Re: tcpdump e iptables
Walter Valenti writes: Cercando in giro per il web sembrerebbe che tcpdump (o meglio libpcap) si pone la scheda fisica e iptables. Quindi qualunque pacchetto in INGRESSO sulla macchina può essere sniffato, indipendentemente dalle regole di iptables. Sto capendo male io? Potranno smentirmi ma direi che NON ti sbagli. tcpdump piglia su tutto quello che passa davanti (e non necessariamente entra) nella scheda che in quel caso considera indirizzati a lei tuti i pacchetti. iptables agisce sui dati in ingresso uscita o attraversamento, ma ad esempio non agisce su quello che gli passa davanti -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/21122.11224.158594.185...@mail.eng.it
Re: iptables
Il giorno 07/ott/2013, alle ore 17:31, Pol Hallen debitv...@fuckaround.org ha scritto: usando psad (devo per forza abilitare i log di iptables): iptables -A INPUT -j LOG iptables -A FORWARD -j LOG cut potrei (e chiedo conferma) specificare un nuovo file di log di iptables e fare leggere a psad quel file? devi personalizzare rsyslog.conf e aggiungere alla riga di iptables la voce --log-level (vedi man) non so' come funzioni psad, ma magari puoi dirgli quale file andarsi a leggere per le sue attivita'. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/8bdd435c-2b29-410c-9c5e-0b70065c2...@nonsolocomputer.com
Re: iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 07/10/2013 17:31, Pol Hallen ha scritto: e quando cerco di leggere i log del server ho chilometri e chilometri dei log di iptables... potrei (e chiedo conferma) specificare un nuovo file di log di iptables e fare leggere a psad quel file? potresti usare ulogd e dirgli di leggere quello e ti troveresti syslog pulito - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iEYEARECAAYFAlJTvcEACgkQm6qs1ZkNrIoLsQCeOIJELms7GAuWjOb3NZZo/h9d HMEAnjqZMD4gwWRydASNa55db/25RpZv =u6EF -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253bdc1.6040...@tiscali.it
iptables
'sera a tutti :-) usando psad (devo per forza abilitare i log di iptables): iptables -A INPUT -j LOG iptables -A FORWARD -j LOG psad (ovviamente) verifica in base ai quei log i tentativi di intrusione... il problema è che me li ritrovo in /var/log/messages e quando cerco di leggere i log del server ho chilometri e chilometri dei log di iptables... potrei (e chiedo conferma) specificare un nuovo file di log di iptables e fare leggere a psad quel file? grazie Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201310071731.58506.debitv...@fuckaround.org
pf vs iptables
'giorno a tutti :-) qualcuno ha provato o sta usando pf su debian? Volevo migrare iptables a pf (mi serve per allenarmi su delle macchine con FreeBSD). grazie per l'aiuto :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305231158.45697.debitv...@fuckaround.org
Re: iptables limit vs conntrack
-A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT Mmmm... questa ha senso utilizzarla o per UDP, o per le connessioni TCP ma su stato 'NEW', altrimenti rischi di stallare ssh come niente... i FW non sono la mia specialità :D si in realtà manca qualche pezzo tipo: --tcp-flags SYN che dovrebbe fare il controllo sul SYN della connessione o ho frainteso? -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 -j DROP Non conoscevo il modulo 'recent', ma leggendomi la manpage questa mi sembra comunque una cagata. LOL'd ... hai ragione in questo momento sto usando questa... sembra funzionare -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH --rsource -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 3 --name SSH --rsource -j TARPIT --tarpit Così accetti tutte le connesioni, e poi le stalli e/o le metti in difficoltà quando superano le 5, mentre per me è sensato che accetti al massimo 5 connessioni in stato 'new'. giusto -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5163e605.1060...@gmail.com
Re: iptables limit vs conntrack
Mandi! Liga In chel di` si favelave... -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT Mmmm... questa ha senso utilizzarla o per UDP, o per le connessioni TCP ma su stato 'NEW', altrimenti rischi di stallare ssh come niente... -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 -j DROP Non conoscevo il modulo 'recent', ma leggendomi la manpage questa mi sembra comunque una cagata. Così accetti tutte le connesioni, e poi le stalli e/o le metti in difficoltà quando superano le 5, mentre per me è sensato che accetti al massimo 5 connessioni in stato 'new'. -- Please note that free software should be interpreted as free speach while most seem to interprete it as free lunch. (Hugo van der Kooij) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/unra3a-5r9@lily.lilliput.linux.it
iptables limit vs conntrack
ciao, sono un po confuso da conntrack e limit, da quanto ho capito (non sono un guru di iptables) le stesse cose si possono avere con entrambi i moduli. in questo esempio: -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 -j DROP conntrack è più granulare rispetto a limit e posso definire intervalli che non siano secondi o minuti. ma a livello di efficenza, portabilità (su altre distro) quale mi consigliate? quali altre differenze non vedo? su internet sono utilizzati entrambi %-( -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/515eab67.9070...@gmail.com
Re: Guarddog, iptables e kernel 2.6.39
In data sabato 17 marzo 2012 10:29:49, computer.enthusiastic ha scritto: Ciao Diego, Fermo restando che guarddog è disponibile solo fino alla release stabile (squeeze), potresti risolvere facilmente modificando lo script /etc/rc.firewall per istruirlo a riconoscere la versione del kernel da te installato manualmente e di versione successiva alla 2.6 (immagino una versione 3.x). Il programma per la gestione del firewall da linea di comando è infatti lo stesso (/sbin/iptables) che usi con il kernel rilasciato di default con squeeze. E' passato un pò di tempo...comunque credevo di aver risolto proprio in questo modo; ma purtroppo quando apro la gui di guarddog lo script viene ricreato totalmente e mi tocca risistemare :( E' un vero peccato che sia stato abbandonato, ho provato gufw e lo trovo tutt' altro che uncomplicated, se voglio bloccare tutto in entrata/uscita e aggiungere solo quello che mi serve diventa un casino perchè non puoi specificare un nome per le regole; va bene la semplicità, ma qui si esagera! -- Diego Russo signature.asc Description: This is a digitally signed message part.
Re: Guarddog, iptables e kernel 2.6.39
Ciao Diego, Fermo restando che guarddog è disponibile solo fino alla release stabile (squeeze), potresti risolvere facilmente modificando lo script /etc/rc.firewall per istruirlo a riconoscere la versione del kernel da te installato manualmente e di versione successiva alla 2.6 (immagino una versione 3.x). Il programma per la gestione del firewall da linea di comando è infatti lo stesso (/sbin/iptables) che usi con il kernel rilasciato di default con squeeze. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cahspyy0fx_ixzcbgjopnoekaclt1catildwek5a+qb-otc8...@mail.gmail.com
Re: Guarddog, iptables e kernel 2.6.39
In data martedì 13 marzo 2012 14:25:40, Diego Russo ha scritto: Un saluto a tutti, Ho testing e con qualsiasi kernel superiore al 2.6.39-2 iptables non mi carica le regole. Guarddog mi dà questo errore : ERRORE: non riesco a determinare il comando di firewall! (E' installato ipchains o iptables?) Eppure iptables è installlato e presente in /sbin, infatti con le versioni 2.6.39 e inferiori funziona. In Kern.log vedo soltanto questa riga e nient'altro: ip_tables: (C) 2000-2006 Netfilter Core Team Qualche idea su come capire cosa non và con i nuovi kernel? Ho capito il problema leggendo il messaggio Stefano schede di rete che non prendono l' ip, infatti non sapevo dell' esistenza di uno script firewall :) In /etc/rc.firewall : if [ -e /proc/sys/kernel/osrelease ]; then KERNEL_VERSION=`sed s/^\([0-9][0-9]*\.[0-9][0-9]*\).*\$/\1/ /proc/sys/kernel/osrelease` if [ $KERNEL_VERSION == 2.6 ]; then KERNEL_VERSION=2.4 fi; if [ $KERNEL_VERSION == 2.5 ]; then KERNEL_VERSION=2.4 fi; if [ $KERNEL_VERSION == 2.4 ]; then if [ -e /sbin/iptables ]; then FILTERSYS=2 fi; if [ -e /usr/sbin/iptables ]; then FILTERSYS=2 fi; if [ -e /usr/local/sbin/iptables ]; then FILTERSYS=2 fi; fi; fi; if [ $FILTERSYS -eq 0 ]; then logger -p auth.info -t guarddog ERROR Can't determine the firewall command! (Is ipchains or iptables installed?) [ $GUARDDOG_VERBOSE -eq 1 ] echo ERRORE: non riesco a determinare il comando di firewall! (E' installato ipchains o iptables?) false fi; Qualcuno sà consigliarmi una gui facile da usare per impostare iptables? Grazie. -- Diego Russo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201203151402.05696.rssdi...@gmail.com
Re: Guarddog, iptables e kernel 2.6.39
Qualcuno sà consigliarmi una gui facile da usare per impostare iptables? Grazie. -- Diego Russo Ciao Diego Ce ne sono a decine, ma se hai bisogno di usare iptables ti consiglio di usarlo in shell e di studiarti un po di man. Penso che iptables sia da usare in shell perchè devi sapere alla virgola cosa sta facendo (IMHO). CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120315132023.m54...@corep.it
Guarddog, iptables e kernel 2.6.39
Un saluto a tutti, Ho testing e con qualsiasi kernel superiore al 2.6.39-2 iptables non mi carica le regole. Guarddog mi dà questo errore : ERRORE: non riesco a determinare il comando di firewall! (E' installato ipchains o iptables?) Eppure iptables è installlato e presente in /sbin, infatti con le versioni 2.6.39 e inferiori funziona. In Kern.log vedo soltanto questa riga e nient'altro: ip_tables: (C) 2000-2006 Netfilter Core Team Qualche idea su come capire cosa non và con i nuovi kernel? -- Diego Russo signature.asc Description: This is a digitally signed message part.
iptables (bloccare tutto specificando mac address)
'giorno a tutti :-) il mio attuale firewall consiste in questo: iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -A INPUT -f -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -f -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT per motivi di sicurezza, vorrei bloccare tutte le connessioni della rete interna (192.168.1.0) verso l'esterno consentendo soltanto i client autorizzati. Potrebbe essere sufficiente modificare queste regole impostando un DENY anzichè un ACCEPT? iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT eppoi iptables -I INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT per ogni singolo client? grazie per l'aiuto! :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201203131445.21754.debitv...@fuckaround.org
Re: iptables (bloccare tutto specificando mac address)
Il giorno Mar 13 Mar 2012 14:45:21 CET, Pol Hallen ha scritto: [...] Potrebbe essere sufficiente modificare queste regole impostando un DENY anzichè un ACCEPT? iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT Sì, ma occhio all'ordine. Se metti in testa questa in DENY allora tutti matcheranno questa. E quindi avrai un DENY globale. La DENY deve andare in fondo (oppure deve essere impostata a livello di tabella, usando -P). Bye, -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5f5a3e.5080...@miamammausalinux.org
Re: iptables (bloccare tutto specificando mac address)
L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso internet), acconsentire quello della lan in ogni caso. Permettere (specificando mac address) i client desiderati sorry per la notifica di lettura (disattivata) Io metterei: iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY poi le autorizzazioni by mac address che dici? PS: questa regola però mi blocca anche il traffico lan, no? Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201203131557.43788.polhal...@fuckaround.org
Re: iptables (bloccare tutto specificando mac address)
Il giorno Mar 13 Mar 2012 15:57:43 CET, Pol Hallen ha scritto: L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso internet), acconsentire quello della lan in ogni caso. Permettere (specificando mac address) i client desiderati Non capisco questo punto: che differenza c'è tra i client e la lan? sorry per la notifica di lettura (disattivata) No problem. Io metterei: iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY poi le autorizzazioni by mac address che dici? PS: questa regola però mi blocca anche il traffico lan, no? Pol Sì in FORWARD ti blocca sicuramente (e considera che è DROP, non DENY). Io generalmente per le chain INPUT e FORWARD metto la policy di default a DROP e poi dichiaro i vari override. Per intenderci, la cosa più minimale: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT così non passa nulla. E da qui aggiungi gli override, per esempio: iptables -A FORWARD -i $IFLAN -p tcp -m multiport --dports 22 -m state --state NEW -j ACCEPT e abiliti l'ssh dall'interno della lan all'esterno ($IFLAN è l'interfaccia affacciata sulla LAN). -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5f680b.6010...@miamammausalinux.org
navigare in internet con ppp e iptables
Salve. Due vecchi portatili (A e B), una sola scheda wireless usb: se voglio aggiornare/navigare etc devo passare la pcmcia da A a B e viceversa. Entrambi hanno una seriale, per cui ho installato ppp (versione 2.4.5-4 testing) e con un cavo seriale null modem a 3 fili posso far comunicare i due portatili. Configuro ppp sui due portatili, la connessione tra i due portatili e' ok (ssh, scp, funziona minicom, funziona tutto). se do ifconfig sul portatile B (quello senza scheda di rete) ottengo: lo bla bla bla ppp0link encap:Point-to-point Protocol inet addr: 172.16.0.5 P-t-P:172.16.0.4 Mask:255.255.255.255 UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1 Ifconfig sul pc A da: Wlan0 192.168.1.10 bla bla bla lo bla bla bla ppp0link encap:Point-to-point Protocol inet addr: 172.16.0.4 P-t-P:172.16.0.5 Mask:255.255.255.255 UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1 Ora, io vorrei permettere a B di navigare in internet tramite A. Ho usato questi comandi: iptables -F -t nat iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward I file /etc/resolv.conf sono impostati a mano, per cui non ci sono problemi su questo fronte. I comandi di iptables li ritengo giusti, perche se provo con due schede di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in internet senza problemi, ma quando uso il cavo seriale, no. Quindi credo il problema sia nella configurazione della connessione ppp. Mi lascia perplesso la netmask 255.255.255.255 di ppp0, perche' nel file di configurazione /etc/ppp/options avevo espressamente impostato 255.255.255.0. qualcuno ha qualche idea sulla natura del problema e su come risolvere? Grazie. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bed88d20da35164d999bd55ce20cedcf0452b...@ascemaexm01.emea.pfizer.com
Re: navigare in internet con ppp e iptables
On Fri, 13 Jan 2012, Premoli, Roberto wrote: I comandi di iptables li ritengo giusti, perche se provo con due schede di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in internet senza problemi, ma quando uso il cavo seriale, no. Quindi credo il problema sia nella configurazione della connessione ppp. Mi lascia perplesso la netmask 255.255.255.255 di ppp0, perche' nel file di configurazione /etc/ppp/options avevo espressamente impostato 255.255.255.0. per un ppp è giusto il 255.255.255.255 altrimenti non sarebbe un pp piuttosto, che cosa ti ritorna route sulla macchina B ? (dovrebbe darti come default l'indirizzo di A) e sulla macchina A /proc/net/ipv4/ip_forward contiene 1 ? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pine.lnx.4.21.1201131325210.31832-100...@student.dicea.unifi.it
Re: navigare in internet con ppp e iptables
On Fri, 13 Jan 2012, Premoli, Roberto wrote: I comandi di iptables li ritengo giusti, perche se provo con due schede di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in internet senza problemi, ma quando uso il cavo seriale, no. Quindi credo il problema sia nella configurazione della connessione ppp. Mi lascia perplesso la netmask 255.255.255.255 di ppp0, perche' nel file di configurazione /etc/ppp/options avevo espressamente impostato 255.255.255.0. per un ppp è giusto il 255.255.255.255 altrimenti non sarebbe un pp piuttosto, che cosa ti ritorna route sulla macchina B ? (dovrebbe darti come default l'indirizzo di A) La macchina B ha la porta ppp0 con IP 172.16.0.5 Qui di seguito il risultato del comando route sulla macchina B Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags = UH Metric = 0 Ref = 0 Use = 0 Iface = ppp0 e sulla macchina A /proc/net/ipv4/ip_forward contiene 1 ? Confermo il valore 1. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bed88d20da35164d999bd55ce20cedcf0452b...@ascemaexm01.emea.pfizer.com
Re: navigare in internet con ppp e iptables
Il 13/01/2012 14:15, Premoli, Roberto ha scritto: La macchina B ha la porta ppp0 con IP 172.16.0.5 Qui di seguito il risultato del comando route sulla macchina B Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags = UH Metric = 0 Ref = 0 Use = 0 Iface = ppp0 Scusa, ma non manca qualche informazione? `ip route show` oppure `route` Perché da quanto ne capisco io la macchina B, con questo instradamento, sa come raggiungere A, ma per andare verso 192.168.1.1 (assumendolo come il tuo modem) come fa? -- Alessandro T. R: Perché leggiamo dall'alto al basso e da sinistra a destra. D: Perché dovrei iniziare la risposta all'e-mail dopo il testo citato? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f103343.3020...@yahoo.it
Re: navigare in internet con ppp e iptables
On 13/01/12 10:57, Premoli, Roberto wrote: Configuro ppp sui due portatili, la connessione tra i due portatili e' ok (ssh, scp, funziona minicom, funziona tutto). se do ifconfig sul portatile B (quello senza scheda di rete) ottengo: lo bla bla bla ppp0link encap:Point-to-point Protocol inet addr: 172.16.0.5 P-t-P:172.16.0.4 Mask:255.255.255.255 UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1 Ifconfig sul pc A da: Wlan0 192.168.1.10 bla bla bla lo bla bla bla ppp0link encap:Point-to-point Protocol inet addr: 172.16.0.4 P-t-P:172.16.0.5 Mask:255.255.255.255 UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1 Ora, io vorrei permettere a B di navigare in internet tramite A. Ho usato questi comandi: iptables -F -t nat iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward I file /etc/resolv.conf sono impostati a mano, per cui non ci sono problemi su questo fronte. I comandi di iptables li ritengo giusti, perche se provo con due schede di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in internet senza problemi, ma quando uso il cavo seriale, no. Quindi credo il problema sia nella configurazione della connessione ppp. Mi lascia perplesso la netmask 255.255.255.255 di ppp0, perche' nel file di configurazione /etc/ppp/options avevo espressamente impostato 255.255.255.0. qualcuno ha qualche idea sulla natura del problema e su come risolvere? Hai impostato una route di default sul PC che non naviga? federico -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f102d6e.9020...@dndg.it
Re: navigare in internet con ppp e iptables
On 13/01/12 14:15, Premoli, Roberto wrote: On Fri, 13 Jan 2012, Premoli, Roberto wrote: I comandi di iptables li ritengo giusti, perche se provo con due schede di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in internet senza problemi, ma quando uso il cavo seriale, no. Quindi credo il problema sia nella configurazione della connessione ppp. Mi lascia perplesso la netmask 255.255.255.255 di ppp0, perche' nel file di configurazione /etc/ppp/options avevo espressamente impostato 255.255.255.0. per un ppp è giusto il 255.255.255.255 altrimenti non sarebbe un pp piuttosto, che cosa ti ritorna route sulla macchina B ? (dovrebbe darti come default l'indirizzo di A) La macchina B ha la porta ppp0 con IP 172.16.0.5 Qui di seguito il risultato del comando route sulla macchina B Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags = UH Metric = 0 Ref = 0 Use = 0 Iface = ppp0 Forse mi ripeto ma... e la route di default?! # route add default gw 172.16.0.4 federico -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f102fbd.1060...@debian.org
RE: navigare in internet con ppp e iptables
Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags = UH Metric= 0 Ref = 0 Use = 0 Iface = ppp0 Forse mi ripeto ma... e la route di default?! # route add default gw 172.16.0.4 federico Federico grazie, col tuo comando ora funziona. Mi domando perche' se uso schede di rete va tutto ma con il ppp0 serve aggiungere manualmente il tuo comando. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bed88d20da35164d999bd55ce20cedcf0452b...@ascemaexm01.emea.pfizer.com
Re: navigare in internet con ppp e iptables
On 13/01/12 15:16, Premoli, Roberto wrote: Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags = UH Metric= 0 Ref = 0 Use = 0 Iface = ppp0 Forse mi ripeto ma... e la route di default?! # route add default gw 172.16.0.4 federico Federico grazie, col tuo comando ora funziona. Mi domando perche' se uso schede di rete va tutto ma con il ppp0 serve aggiungere manualmente il tuo comando. Se usi DHCP su ethernet il gateway (default route) te la da lui, mentre se configuri staticamente in /etc/network/interfaces in genere aggiungi un parametro gateway. Puoi istruire pppd (lato server) a passare un default gateway quando viene stabilita una connessione. federico -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f103d7c.6050...@debian.org
[RISOLTO] Re: navigare in internet con ppp e iptables
On 13/01/12 15:16, Premoli, Roberto wrote: Destination = 172.16.0.4 Gateway = * Genmask = 255.255.255.255 Flags= UH Metric = 0 Ref = 0 Use = 0 Iface= ppp0 Forse mi ripeto ma... e la route di default?! # route add default gw 172.16.0.4 federico Federico grazie, col tuo comando ora funziona. Mi domando perche' se uso schede di rete va tutto ma con il ppp0 serve aggiungere manualmente il tuo comando. Se usi DHCP su ethernet il gateway (default route) te la da lui, mentre se configuri staticamente in /etc/network/interfaces in genere aggiungi un parametro gateway. Puoi istruire pppd (lato server) a passare un default gateway quando viene stabilita una connessione. federico Ottimo, la segno nella lista di cose da sapere :) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f103d7c.6050...@debian.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bed88d20da35164d999bd55ce20cedcf0452b...@ascemaexm01.emea.pfizer.com
iptables e fail2ban - tarpit spammers
ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: ip IP address # failures number of failures # time unix timestamp of the ban time # Values: CMD # actionban = iptables -I fail2ban-name 1 -s ip -j DROP #actionban = iptables -I fail2ban-name 1 -s ip -j TARPIT Avete qualche consiglio? ciao Liga -- Liga
Re: iptables e fail2ban - tarpit spammers
On 16/11/2011 11:48, Liga wrote: ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: ip IP address # failures number of failures # time unix timestamp of the ban time # Values: CMD # actionban = iptables -I fail2ban-name 1 -s ip -j DROP #actionban = iptables -I fail2ban-name 1 -s ip -j TARPIT questa viene espansa in: # iptables -D fail2ban-mailserver -s IP.x.x.x -j TARPIT iptables: No chain/target/match by that name.
Re: iptables e fail2ban - tarpit spammers
On Wed, Nov 16, 2011 at 13:16, Liga alessioliga...@gmail.com wrote: ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: Il target TARPIT non è di default su iptables (mi pare sia un modulo sperimentale), quindi va installato a parte. Fa parte del pacchetto xtables-addons, che puoi installare (comprende anche un modulo del kernel) o tramite dkms (xtables-addons-dkms) oppure tramite module-assistant (m-a a-i xtables-addons). -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAC2nX3nh6WHwTJ2eT0sMsfpaxuujBzFuct7tm3dPDES3EM=v...@mail.gmail.com
Re: iptables e fail2ban - tarpit spammers
ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: Il target TARPIT non è di default su iptables (mi pare sia un modulo sperimentale), quindi va installato a parte. Fa parte del pacchetto xtables-addons, che puoi installare (comprende anche un modulo del kernel) o tramite dkms (xtables-addons-dkms) oppure tramite module-assistant (m-a a-i xtables-addons). ti ringrazio per la risposta, ma l'ho già installato (tramite m-a) e funziona in altre regole, ma non riesco a farlo partire tramite fail2ban dev'esserci qualcosa di errato nella regola ma non sono molto esperto di ipt :) -- Liga
iptables: filtrare ip per un utente
'giorno a tutti :-) stavo cercando online una regola di iptables che permetta di negare l'accesso a determinati ip solo ad un utente del sistema. Ho trovato come bloccare in modo permanente un singolo utente, ma per quanto riguarda negargli alcuni ip no.. (per motivi che non starò quì a spiegare, mentre un utente del sistema utilizza wine, il programma per win accede in automatico ad alcuni ip che ho già memorizzato). Vorrei negare l'accesso di questi ip. grazie Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201107221357.40501.debl...@fuckaround.org
Re: iptables: filtrare ip per un utente
Ho trovato come bloccare in modo permanente un singolo utente, ma per quanto riguarda negargli alcuni ip no.. Giorno Pol. Tu vuoi bloccare il traffico di outgoing verso alcuni IP, traffico fatto non dalla macchina in generale ma da processi relativi ad un particolare utente di quella macchina ? E' questa la tua domanda ? Se hai trovato la regola su come discriminare l'outgoing di un processo di un singolo utente, non dovrebbe essere difficile modificarla per adattarla, la puoi postare ? Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110722122557.m38...@corep.it
Re: iptables: filtrare ip per un utente
On Fri, 22 Jul 2011 13:57:40 +0200, Pol Hallen debl...@fuckaround.org wrote: stavo cercando online una regola di iptables che permetta di negare l'accesso a determinati ip solo ad un utente del sistema. Una cosa tipo iptables -A OUTPUT -m owner --uid-owner ID_UTENTE -d IP_ADDRESS -j DROP -- Fabtizio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1a413b8b13af7d849ed88c418ab1abce@localhost
Re: iptables: filtrare ip per un utente
ciao Luca :-) Tu vuoi bloccare il traffico di outgoing verso alcuni IP, traffico fatto non dalla macchina in generale ma da processi relativi ad un particolare utente di quella macchina ? yes E' questa la tua domanda ? yes :-) Se hai trovato la regola su come discriminare l'outgoing di un processo di un singolo utente, non dovrebbe essere difficile modificarla per adattarla, la puoi postare ? qualcosa tipo: iptables -A FORWARD -d domain.com -j DROP iiptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP e aggiungere -m owner --uid-owner user Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201107222009.32976.debl...@fuckaround.org
Re: iptables: filtrare ip per un utente
iptables -A FORWARD -d domain.com -j DROP iiptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP e aggiungere -m owner --uid-owner user perchè fai riferimento al canale di forward ? La macchina Linux è una NAT box ? No, genera lei il traffico (a quanto ho capito) Fabrizio ti ha dato la risposta più semplice: **iptables -A OUTPUT -m owner --uid-owner ID_UTENTE -d IP_ADDRESS -j DROP ** Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110722211642.m67...@corep.it
... di VPN, iptables, e NAT
ciao, ho configurato una vpn con nat per vedere la mia rete interna: -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE a questo punto tutto quello che viene dalla vpn esce con l'ip del server openvpn sulla mia rete. normale? non è possibile farlo uscire con un ip differente? tipo il 10.10.10.123? sarebbe + comodo per i log e per aprire solamente alcuni servizi verso la vpn. ciao Liga -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e0b28dd.1040...@gmail.com
Re: ... di VPN, iptables, e NAT
2011/6/29 Liga alessioliga...@gmail.com: ciao, ho configurato una vpn con nat per vedere la mia rete interna: -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE a questo punto tutto quello che viene dalla vpn esce con l'ip del server openvpn sulla mia rete. normale? non è possibile farlo uscire con un ip differente? tipo il 10.10.10.123? sarebbe + comodo per i log e per aprire solamente alcuni servizi verso la vpn. Così dovrebbe bastare: -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT --to source 10.10.10.123 -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTi=MhXVb4QFZS75Bk=6yR-b6-qe*@mail.gmail.com
iptables nat prerouting
Una buona giornata a tutti ! Mi ritrovo in questa situazione: -) Una macchina che si comporta come proxy trasparente SMTP (filtraggio-antivirus, antispam ecc.), eventualmente da ridondare (più macchine di questo tipo). Tutto ok, funziona bene. -) Un SMTP server. Dovrei dall'SMTP server inoltrare i pacchetti in ingresso sulla porta 25 verso il proxy (o i proxy) SMTP, i quali una volta analizzato il traffico SMTP lo fanno ritornare indietro, il tutto trasparentemente. L'inoltro deve avvenire solo se il sorgente è in un certo range di IP, altrimenti viene processato direttamente senza ricorrere al proxy. Vorrei non toccare la configurazione dell'SMTP server, in modo che se ci sono problemi con il proxy, si disattiva solo una regola di inoltro iptables. Pensavo a questa regola da attivare sull'SMTP server: iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport 25 -s IPOKPERFORWARD -j DNAT --to IPPROXYSMTP:PORTPROXYSMTP ovviamente non funziona. :) Se dall'smtp contatto il proxy (un banale telnet sulla porta proxysmtp): ok Il sintomo è come se la connessione non venisse rediretta. Cosa sbaglio ? Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110210145115.m83...@corep.it
Re: iptables nat prerouting
On 10/02/11 16:06, dea wrote: iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport 25 -s IPOKPERFORWARD -j DNAT --to IPPROXYSMTP:PORTPROXYSMTP ovviamente non funziona. :) Se dall'smtp contatto il proxy (un banale telnet sulla porta proxysmtp): ok Il sintomo è come se la connessione non venisse rediretta. Se dall'SMTP fai un telnet verso il proxy non vedo come questa regola possa entrare in gioco visto che ha -d IPSMTP che immagino non essere l'IP verso cui fai il telnet (IPPROXYSMTP). federico -- Federico Di Gregorio f...@initd.org Non vi sono certezze, solo opportunità. -- V signature.asc Description: OpenPGP digital signature
Re: iptables nat prerouting
si, certo Federico. Era solo per dire che il server SMTP riesce (a prescindere dalla regola) a raggiungere correttamente il proxy trasparente SMTP. Non volevo dire che entra gioco la regola inserita, così facendo. Mi sono espresso male :) Naturalmente vorrei che una macchina con IP specificato, richiami l'SMTP sulla porta 25 e si veda rispondere il proxy SMTP. Per le altre macchine deve rispondere direttamente il primo (regola non soddisfatta, quindi il DNAT non viene applicato). CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110210153142.m86...@corep.it
Re: iptables nat prerouting
On 10/02/11 16:06, dea wrote: iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport 25 -s IPOKPERFORWARD -j DNAT --to IPPROXYSMTP:PORTPROXYSMTP ovviamente non funziona. :) Se dall'smtp contatto il proxy (un banale telnet sulla porta proxysmtp): ok Il sintomo è come se la connessione non venisse rediretta. Se dall'SMTP fai un telnet verso il proxy non vedo come questa regola possa entrare in gioco visto che ha -d IPSMTP che immagino non essere l'IP verso cui fai il telnet (IPPROXYSMTP). federico -- Federico Di Gregorio federico.digrego...@dndg.it Studio Associato Di Nunzio e Di Gregorio http://dndg.it La felicità è una tazza di cioccolata calda. Sempre. -- Io -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d54015b.8050...@dndg.it
Re: iptables nat prerouting
On 10/02/11 16:36, dea wrote: si, certo Federico. Era solo per dire che il server SMTP riesce (a prescindere dalla regola) a raggiungere correttamente il proxy trasparente SMTP. Non volevo dire che entra gioco la regola inserita, così facendo. Ma allora qual'è la domanda, scusa? In che senso la regola non funziona? Naturalmente vorrei che una macchina con IP specificato, richiami l'SMTP sulla porta 25 e si veda rispondere il proxy SMTP. Per le altre macchine deve rispondere direttamente il primo (regola non soddisfatta, quindi il DNAT non viene applicato). Chiaro. Dici che la regole non funziona: 1) Hai provato dall'IP corretto? 2) L'IP è su di un'altra rete in modo che il FW faccia il routing? federico -- Federico Di Gregorio federico.digrego...@dndg.it Studio Associato Di Nunzio e Di Gregorio http://dndg.it Degli altri, della gente senza domande, si puo' fare a meno. -- macchinavapore -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d54092e.2070...@dndg.it
Re: strano problema di routing (iptables)
Il 24/11/2010 23:58, Pol Hallen ha scritto: il ping funziona, ma alcune pagine vanno in timeout (sono pagine che funzionano come verificato dall'altra adsl) ho già visto questo problema e ho risolto riconfigurando il modem. la cosa strana che accadeva era che usando il wizard del modem si riusciva a pingare, ma molte pagine andavano in time out. poi ho provato a riconfigurare mettendo a mano i parametri (pppoe, vpi, vci) e ha funzionato. tentar ... Ho provato a by-passare il server e tutto funziona bene. quale server? Non so se sia un problema di iptables, le regole inserite sono queste: ti consiglio di disabilitare temporaneamente il firewall per poter individuare dove sta il problema iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -A INPUT -f -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -f -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp -j ACCEPT iptables -A INPUT -i eth2 -p icmp -j ACCEPT iptables -A INPUT -i eth3 -p icmp -j ACCEPT iptables -A INPUT -i tap0 -p icmp -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE non mi pare ci siano problemi. se questa macchina è il server a cui ti riferivi prima prova a uscire direttamente sull'adsl con un client, così controlli la linea. se la linea è a posto ti puoi concentrare sul server grazie! Pol -- Alessandro T. R: Perché leggiamo dall'alto al basso e da sinistra a destra. D: Perché dovrei iniziare la risposta alla mail sotto il testo quotato? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cee2741.5080...@yahoo.it
Re: strano problema di routing (iptables)
Ciao, On Thu, November 25, 2010 10:07 am, Alessandro T. wrote: Il 24/11/2010 23:58, Pol Hallen ha scritto: il ping funziona, ma alcune pagine vanno in timeout (sono pagine che funzionano come verificato dall'altra adsl) Mi è capitato di vedere gli stessi sintomi, nel mio caso si trattava di un problema di MTU, che ho risolto impostando un mtu un poco inferiore al normale (man ifconfig). Prova a fare qualche esperimento con un valore piccolo (1000), se non migliora, il problema è altrove. Ciau, m -- http://bodrato.it/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50119.151.21.86.100.1290678257.squir...@mail.dm.unipi.it
Re: strano problema di routing (iptables)
non ti apre le pagine o non riesci il trace e il ping ? rettifica :-( il ping funziona, ma alcune pagine vanno in timeout (sono pagine che funzionano come verificato dall'altra adsl) Ho provato a by-passare il server e tutto funziona bene. Non so se sia un problema di iptables, le regole inserite sono queste: iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -A INPUT -f -j DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -f -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp -j ACCEPT iptables -A INPUT -i eth2 -p icmp -j ACCEPT iptables -A INPUT -i eth3 -p icmp -j ACCEPT iptables -A INPUT -i tap0 -p icmp -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE grazie! Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011242358.41932.d...@fuckaround.org
Re: IPtables localhost redirect
Ciao ragazzi, la discussione è continuata sulla mailing-list debian-user e sul forum linuxquestions.org. Sono uscite considerazioni interessanti e un nuovo workaround mediante xinetd: service postgresql { socket_type = stream wait= no user= root redirect= 192.168.1.113 5432 bind= 127.0.0.1 } Vi rimando a: http://lists.debian.org/debian-user/2010/07/msg00542.html http://www.linuxquestions.org/questions/linux-networking-3/iptables-redirect-127-0-0-1-to-192-168-1-113-a-818817/ Ciao ragazzi, e grazie per il supporto. Daniele -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim8wlqkdpcgsd98_phwbawt1bh4yjklqzwgo...@mail.gmail.com