Re: Chiarezza su funzionamento iptables..
Michele Orsenigo ha scritto:
On Sunday 11 February 2007 19:54, Menegatti Simone wrote:
Sul pc del firewall ho 2 schede di rete una con ip 192.168.0.2 e l'altra
con ip 10.10.1.1
Il pc che si deve collegare ha ip 10.10.1.2
netstat -nr
Destination Gateway Genmask Flags MSS Window irtt
Iface
10.10.0.0 0.0.0.0 255.255.0.0 U 0 0 0
eth1
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0
eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0
eth0
In queste condizioni, con le regole che hai messo, dovresti poter accedere a
internet (192.168.0.1 immagino sia il router) dal firewall. Invece dal PC
10.10.1.2, dovresti riuscire a mandare i pacchetti al router, ma
probabilmente non hai messo sul router una rotta che dica che la rete
10.10.0.0/16 si trova attreverso il firewall così i pacchetti di risposta non
ti arrivano.
Puoi verificare se le cose stanno così perchè dal PC dovresti riuscire ad
avere risposta con un ping al 192.168.0.2 ma non con un ping al 192.168.0.1
Quindi o metti la suddetta rotta sul router oppure
potresti fare un SNAT in
modo che il PC si presenti al router con l'indirizzo del firewall.
Mi piacerebbe fare un nat infatti...
ecco le mie attuali regole:
#!/bin/bash
##################################################################################################
###### FLUSHING CHAIN
##################################################
##################################################################################################
###### Flush, svuota le catene predefinite
iptables -F
iptables -t nat -F
iptables -t mangle -F
###### CANCELLO LE CATENE
iptables -X
###### Azzera i contatori sulle catene
iptables -Z
##################################################################################################
##### END FLUSHING CHAIN
##################################################
##################################################################################################
##### MODULI VARI DA CHIARIRE #####
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe iptable_nat
modprobe ip_nat_ftp
##### FINE MODULI
##### SETTING IPFORWARDING - Abilita il forwarding x il NAT #####
echo 1 > /proc/sys/net/ipv4/ip_forward
##### END SETTING IPFORWARDING #####
##################################################################################################
##### DEFAULT CHAIN
##################################################
# Imposto le policy per i pacchetti in ingresso bloccando il traffico
iptables -P INPUT DROP
# Imposto le policy per i pacchetti in transito tra le due interfacce
bloccando il traffico
iptables -P FORWARD DROP
# Imposto la policy per i pacchetti in uscita bloccando il traffico
iptables -P OUTPUT DROP
# Imposto la policy per postrouting e prerouting bloccanto il traffico
##iptables -t nat -P POSTROUTING DROP
##iptables -t nat -P PREROUTING DROP
##### END DEFAULT CHAIN
##################################################
# ABILITO IL PING DAL FIREWALL LINUX
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
###### ABILITO / DISAB IL DNS DA ETH0 - DNS
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT -m state --state
ESTABLISHED
###### ABILITO / DISAB PORTA 80 SU SERVER LINUX - WEB
iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state
RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
# ABILITO IL PING FORWARD DAI PC DI RETE
iptables -A FORWARD -p icmp -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.1.2 -d 0/0 -j MASQUERADE
****************************
Allo stato attuale non riesco ne a navigare dal 10.10.1.2 ne a pingare
fuori....
ciao
Reply to: