[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Chiarezza su funzionamento iptables..

Michele Orsenigo ha scritto:

On Sunday 11 February 2007 19:54, Menegatti Simone wrote:

Sul pc del firewall ho 2 schede di rete una con ip 192.168.0.2 e l'altra
con ip 10.10.1.1

  Il pc che si deve collegare ha ip 10.10.1.2
netstat -nr 

Destination     Gateway         Genmask         Flags   MSS Window  irtt
Iface
10.10.0.0       0.0.0.0         255.255.0.0     U         0 0          0
eth1
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0
eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0
eth0
In queste condizioni, con le regole che hai messo, dovresti poter accedere a internet (192.168.0.1 immagino sia il router) dal firewall. Invece dal PC 10.10.1.2, dovresti riuscire a mandare i pacchetti al router, ma probabilmente non hai messo sul router una rotta che dica che la rete 10.10.0.0/16 si trova attreverso il firewall così i pacchetti di risposta non ti arrivano. Puoi verificare se le cose stanno così perchè dal PC dovresti riuscire ad avere risposta con un ping al 192.168.0.2 ma non con un ping al 192.168.0.1 
Quindi o metti la suddetta rotta sul router oppure
potresti fare un SNAT in modo che il PC si presenti al router con l'indirizzo del firewall. 
Mi piacerebbe fare un nat infatti...
ecco le mie attuali regole:
#!/bin/bash
##################################################################################################
###### FLUSHING CHAIN ################################################## 
##################################################################################################
###### Flush, svuota le catene predefinite
iptables -F
iptables -t nat -F
iptables -t mangle -F
###### CANCELLO LE CATENE
iptables -X
###### Azzera i contatori sulle catene
iptables -Z
##################################################################################################
##### END FLUSHING CHAIN ################################################## 
##################################################################################################
##### MODULI VARI DA CHIARIRE #####
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe iptable_nat
modprobe ip_nat_ftp
##### FINE MODULI

##### SETTING IPFORWARDING - Abilita il forwarding x il NAT #####
echo 1 > /proc/sys/net/ipv4/ip_forward
##### END SETTING IPFORWARDING #####
##################################################################################################
##### DEFAULT CHAIN ################################################## 
# Imposto le policy per i pacchetti in ingresso bloccando il traffico
iptables -P INPUT DROP
# Imposto le policy per i pacchetti in transito tra le due interfacce bloccando il traffico 
iptables -P FORWARD DROP
# Imposto la policy per i pacchetti in uscita bloccando il traffico
iptables -P OUTPUT DROP
# Imposto la policy per postrouting e prerouting bloccanto il traffico
##iptables -t nat -P POSTROUTING DROP
##iptables -t nat -P PREROUTING DROP
##### END DEFAULT CHAIN ################################################## 
# ABILITO IL PING DAL FIREWALL LINUX
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

######   ABILITO / DISAB IL DNS DA ETH0 - DNS
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT -m state --state ESTABLISHED 

######  ABILITO / DISAB PORTA 80 SU SERVER LINUX - WEB
iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT

# ABILITO IL PING FORWARD DAI PC DI RETE
iptables -A FORWARD -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.10.1.2 -d 0/0 -j MASQUERADE


****************************
Allo stato attuale non riesco ne a navigare dal 10.10.1.2 ne a pingare fuori.... 

ciao
Reply to: