Re: konqueror swat rete: mah!

[Luca Sighinolfi <lusighin@tin.it>]

ciao a tutti

Mattia,
      ho fatto come mi hai detto, cioè ho aggiunto le due righe nello 
script di configurazione di iptables, ma il problema rimane.

non riesco a pingare localhost, dice:
ping: wrote 127.0.0.1 64 chars, ret=-1
ping: sendto: Network is unreachable

questo succede anche senza aver avviato lo script che configura la 
macchina come router.

se può servire l'output di 'ifconfig -a' è:

root@debian:/home/lsighi# ifconfig -a
dummy0    Link encap:Ethernet  HWaddr 00:00:00:00:00:00  
          BROADCAST NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

eth0      Link encap:Ethernet  HWaddr 00:10:A7:0E:B7:D0  
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:47 dropped:0 overruns:0 carrier:94
          collisions:799 txqueuelen:100 
          RX bytes:0 (0.0 b)  TX bytes:7063 (6.8 KiB)
          Interrupt:11 Base address:0xe400 

lo        Link encap:Local Loopback  
          LOOPBACK  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

riporto anche lo script per il router:

  #!/bin/sh

  iptables="/sbin/iptables"

  echo '0' > /proc/sys/net/ipv4/ip_forward

  modprobe ip_tables
  modprobe ip_conntrack
  modprobe ip_conntrack_ftp ip_nat_ftp
  modprobe iptable_nat
  modprobe ipt_MASQUERADE

  iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  # aggiungiamo una regola alla catena di postrouting:
  # tutti i pacchetti in uscita attraverso l'interfaccia "ppp0"
  # dovranno essere mascherati

  iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  # accettiamo tutti i pacchetti appartenenti a connessioni già iniziate

  iptables -A INPUT -i eth0 -j ACCEPT
  iptables -A INPUT -s 127.0.0.1 -j ACCEPT
  #iptables -I INPUT -i lo -j ACCEPT
  # permetto le connessioni a me stesso

  iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  # questo per le nuove connessioni

  iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
  iptables -A FORWARD -s 127.0.0.1 -j ACCEPT
  # accettiamo il traffico generato dalla rete interna

  iptables -A FORWARD -j DROP
  # tutto il resto è scartato

  echo '1' > /proc/sys/net/ipv4/ip_forward
  # abilitiamo la connessione.

qualche altro consiglio?
ciao e grazie

On Monday 10 November 2003 09:46, Mattia Dongili wrote:
> On Sun, Nov 09, 2003 at 10:10:27PM -0100, Luca Sighinolfi wrote:
> > ciao lista.
> >
> > oggi ho avviato il computer e ora mi succede questo:
>
> [...]
>
> > PS: č normale che il ping di 127.0.01, cioč localhost, fallisca?
>
> hai impostato male iptables, e' la fonte di tutti i tuoi problemi
> citati.
>
> immagino tu abbia fatto un
> iptables -P INPUT DROP
>
> il fatto e' che almeno le connessioni a te stesso le devi permettere:
> iptables -I INPUT -i lo -j ACCEPT
> (vado a memoria, se il comando e' sbagliato sistemalo)
>
> e le connessioni che apri dovrebbero poter tornare indietro:
> iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> pero' non lanciare questi comandi sperando nella provvidenza divina,
> leggiti un po' di documenti, mail passate in lista, HOWTO e vai a
> fondo sull'argomento, per quanto piccola una rete possa essre, il
> firewall non e' mai cosa banale.
>
> ciao

-- 
Luca Sighinolfi