Re: Comunicazione tra sottoreti

To: debian-italian@lists.debian.org
Subject: Re: Comunicazione tra sottoreti
From: Johan Haggi <only-2004@orsobruno.net>
Date: Thu, 23 Sep 2004 18:03:01 +0200
Message-id: <[🔎] 20040923160301.GA6941@linux.retelocale>
Mail-followup-to: debian-italian@lists.debian.org
In-reply-to: <[🔎] I4GT1H$A1DE1EE95CA625F96F399ADD7E81C949@libero.it>
References: <[🔎] I4GT1H$A1DE1EE95CA625F96F399ADD7E81C949@libero.it>

gio 23 settembre 2004, alle 0:56 (GMT+0200), jordan83@inwind.it ha scritto:
> [...]
> Il firewall che utilizzo è generato da uno script, ottenuto dal sito:
> http://rocky.molphys.leidenuniv.nl/
> E' l' Arno's IPtables Firewall.
> Le regole non le ho scritte io, per scarsità di tempo e di esperienza.
> Dal file di configurazione ho impostato NAT e quant'altro.
> [...]

Probabilmente hai qualche regola che blocca i pacchetti.

Puoi cercare nella doc del gioco che porte usa oppure puoi andare a
controllare cosa fa lo script che usi attivando il log dei pacchetti
rifiutati e guardando in /var/log/messages

Per loggare i pacchetti devi far precedere ad ogni regola che finisce
con -j DROP oppure -j REJECT una regola identica che finisca in
-j LOG --log-prefix "stringa_di_max_29_caratteri"

Se hai il default di una catena a DROP/REJECT devi aggiungere come
ultima regola della catena qualcosa tipo

iptables -P INPUT LOG --log-prefix "Rifiutato da default INPUT:"

man iptables per ulteriori info.

Poi fai partire il gioco ed in /var/log/messages troverai un msg per
ogni pacchetto rifiutato comprensivo di interfaccia (IN o OUT), IP e
porta sorgenti (SRC SPT) e di destinazione (DST DPT), protocollo (PROTO)

Con questi dati dovresti poter aprire le porte senza spalancare buchi
enormi.

Se ti perdi nello script considera quanto segue per modificarlo (con il
mio script funziona, non so col tuo):

fai una copia dello script (firewall.copia) e lavora SULLA COPIA;

unisci i comandi seguenti su un unica riga e dai invio:

i=1 ; righe=`wc -l firewall.copia | sed s/\ .*//` ;
until [ "$i" -gt "$righe" ] ; do head -$i /usr/local/bin/firewall |
tail -1 |
sed -r "s/(.*)-j (REJECT|DROP)(.*)/\1-j LOG --log-prefix
\"Rifiutato da $i:\" --log-level info\3\n\1-j \2\3/"
--log-level info\3\n\1\2\3/" ; let i=i+1 ; done > firewall.debug

aggiungi a mano come ultima regola delle catene che di default bloccano
i pacchetti:
iptables -P NOME_CATENA LOG --log-prefix "Rifiutato da default NOME_CATENA:"

e poi lancia (DISCONNESSO DA INTERNET) firewall.debug e prova a giocare:
in /var/log/messages per ogni paccehtto rifiutato avrai un msg che
inizia con "Rifiutato da numero_riga_di_firewall.copia_che_blocca"
-- 
Misura *ANTISPAM*: il mio indirizzo *non* e` alterato, ma
e` valido *solo* fino al 31 dicembre 2004
Ave       Johan Haggi
ante diem nonum Kalendas Novembres MMDCCLVII ab Urbe condita

Reply to:

References:
- Re: Comunicazione tra sottoreti
  - From: "jordan83@inwind.it" <jordan83@inwind.it>

Prev by Date: Re: Requisiti del sistema
Next by Date: Re: DAT - STREAMER
Previous by thread: Re: Comunicazione tra sottoreti
Next by thread: strano messaggio all'avvio...
Index(es):
- Date
- Thread