Ciao ho la necessita di installare un fw linux e una server mail in una piccola azienda.
Ecco la situazione. Router adsl ip 192.168.0.1 Ip fw 192.168.0.2 (ETH0) e 10.10.1.1 (ETH1) Ip server dns 10.10.1.3 Ip rete 10.10.1.x Avevo ipotizzata questa configurazione di iptables ################################################################### DEFAULT CHAIN iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #iptables -t nat -P POSTROUTING DROP #iptables -t nat -P PREROUTING DROP ##### END DEFAULT CHAIN ###################################################################### REGOLE PERSONALIZZATE ################################################## # ABILITO IL MASQUERADE PER I PC DELLA RETE iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE # ABILITO IL FORWARD DEI PACCHETTI CHE HANNO QUALCHE RELAZIONE CON LE CONNESSIONI ESITENTI iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ABILITO IL DNS DA PARTE DEL SERVER DNS iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.3 --dport 53 -m state --state NEW -j ACCEPT iptables -t filter -A FORWARD -p udp -i eth1 -o eth0 -s 10.10.1.3 --dport 53 -m state --state NEW -j ACCEPT # ABILITO LA NAVIGAZIONE DEI PC DELLA RETE iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.0/24 --dport 80 -m state --state NEW -j ACCEPT iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.0/24 --dport 443 -m state --state NEW -j ACCEPT # ABILITO LOCALHOST iptables -t filter -A INPUT -p tcp -i lo -j ACCEPT # MAIL - DO LA POSSIBILITA DI SCARICARE (IMAP) E INVIARE MAIL AGLI UTENTI DELLA RETE iptables -t filter -A INPUT -p tcp -i eth1 -s 10.10.1.0/24 --dport 143 -j ACCEPT iptables -t filter -A INPUT -p tcp -i eth1 -s 10.10.1.0/24 --dport 25 -j ACCEPT # PING - ABILITO IL PING DALLA RETE VERSO L'ESTERNO E VERSO IL FW iptables -t filter -A FORWARD -p icmp -i eth1 -o eth0 -s 10.10.1.0/24 -j ACCEPT iptables -t filter -A INPUT -p icmp -i eth1 -s 10.10.1.0/24 -j ACCEPT #************************************* FINE Le regole funzionano perchè le ho provate riproducendo la situazione.. Ma secondo voi sono corrette? Ho anche alcune domande.. - # ABILITO IL MASQUERADE PER I PC DELLA RETE iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE Perchè se modifico la regola sopra in iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 10.10.1.0/24 -j MASQUERADE non funziona più nulla?? - Altra cosa. E' bene lasciare ad "ACCEPT" la regola di OUTPUT? - Infine.. # ABILITO LOCALHOST PER LEGGERE LE MAIL DAL SERVER E ALTRO iptables -t filter -A INPUT -p tcp -i lo -j ACCEPT Subito avevo scritto: iptables -t filter -A INPUT -p tcp -i lo --dport 143 -j ACCEPT iptables -t filter -A INPUT -p tcp -i lo --dport 25 -j ACCEPT ma quando riavviavo il pc ci metteva una vita a partire (10 minuti..) attendava secondo me il time out di qualcosa scaduto il quale faceva partire gli altri servizio. Ho tolto le porta e reso la regola più "aperta" e tutto ora va bene. Perche secondo voi? Bloccavo qualche servizio? ciao ------------------------------------------------------ Leggi GRATIS le tue mail con il telefonino i-mode di Wind http://i-mode.wind.it/