L'ip forward non mi funziona..

To: debian-italian@lists.debian.org
Subject: L'ip forward non mi funziona..
From: "Wannabe.mail" <wannabe.mail@libero.it>
Date: Wed, 26 Jul 2006 23:08:16 +0200
Message-id: <[🔎] 44C7D9C0.7050501@libero.it>

Sto facendo un po di pratica con iptables.

Ho un debian con due schede, eth0 -> 192.168.0.2, eth1 -> 10.10.1.1

Su eth1 ho collegato con cavo cross un portatile con ip 10.10.1.2 e gw10.10.1.1

I due pc con classe 10.10.1 si pingano.

Ma non riesco a navigare o a pingare nessun server esterno dal notebookmentre dal fw linux riesco ad uscire tranquillamente e

a fare tutto cio che ho permesso.
Da cosa può dipendere?
Grazie


Ecco le regole iptables che utilizzo.:

#!/bin/bash
#
##################################################################################################

######## REGOLE IPTABLES##################################################

##################################################################################################
##################################################################################################

###### FLUSHING CHAIN##################################################

##################################################################################################
###### Flush, svuota le catene predefinite
iptables -F
iptables -t nat -F
iptables -t mangle -F
###### CANCELLO LE CATENE
iptables -X
###### Azzera i contatori sulle catene
iptables -Z
##################################################################################################

##### END FLUSHING CHAIN##################################################

##################################################################################################
##### MODULI VARI DA CHIARIRE #####
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe iptable_nat
modprobe ip_nat_ftp
##### FINE MODULI
##### SETTING IPFORWARDING - Abilita il forwarding x il NAT #####
echo 1 > /proc/sys/net/ipv4/ip_forward
##### END SETTING IPFORWARDING #####
##################################################################################################

##### DEFAULT CHAIN##################################################

# Imposto le policy per i pacchetti in ingresso bloccando il traffico
iptables -P INPUT DROP

# Imposto le policy per i pacchetti in transito tra le due interfaccebloccando il traffico

iptables -P FORWARD DROP
# Imposto la policy per i pacchetti in uscita bloccando il traffico
iptables -P OUTPUT DROP
# Imposto la policy per postrouting e prerouting bloccanto il traffico
#iptables -t nat -P POSTROUTING DROP
#iptables -t nat -P PREROUTING DROP

##### END DEFAULT CHAIN##################################################

##################################################################################################
##################################################################################################

######## REGOLE PERSONALIZZATE##################################################

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
##### ABILITO / DISAB IL PING DA ETH0
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# 25/07/06 controllare se necessitano le regole del 17/12/05, un po +sotto, x il funzionamento

# di tutto.
#2502206 le regole in Input vogliono il --dport quelle in Output il --sport

#Inizialmente avevo scritto il contrario#################### controllarele regole

######   ABILITO / DISAB IL DNS DA ETH0 - DNS
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT -m state --stateESTABLISHED

######  ABILITO / DISAB PORTA 80 SU SERVER LINUX - WEB

iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
######  ABILITO / DISAB PORTA 443 SU SERVER LINUX - HTTPS

iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
######  ABILITO / DISAB PORTA 25 SU SERVER ETH0 - SMTP

iptables -A INPUT -i eth0 -p tcp --sport 25 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
######  ABILITO / DISAB PORTA 22 SU SERVER ETH0 - SSH

#iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT  -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT
######  ABILITO / DISAB PORTA 23 SU SERVER ETH0 - TELNET

#iptables -A INPUT -i eth0 -p tcp --dport 23 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT  -i eth0 -p tcp -s 192.168.0.3 --dport 23 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 23 -j ACCEPT
######  ABILITO / DISAB PORTA 20 E 21 SU SERVER ETH0 - FTP

iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 20 -m state --stateRELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
# 17/12/2005 da COMMENTARE

# ACCETTO I PACCHETTI IN ENTRATA SUL FW RELATIVI A CONNESS GIA ESIST ESTABILITE

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# ACCETTO QUALSIASI PACCHETTO IN USCITA DAL FIREWALL

iptables -A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -jACCEPT

# 17/12/2005 fine DA COMMENTARE

##### END REGOLE PERSONALIZZATE##################################################

##################################################################################################
##################################################################################################

######### REGOLE NAT#######################################################

######   ABILITO / DISAB MAC ADDRESS
#iptables -A FORWARD -m mac --mac-source 00-50-04-B7-24-73 -j DROP
######   ABILITO IL FORWARD DA PARTE DI 10.10.1.2
iptables -A FORWARD -s 10.10.1.2 -j ACCEPT
######   ABILITO / DISAB PORTA 80 53 25 110 DA 10.10.1.2

# POSTROUTING : (SNAT) QUANDO DEVO USCIRE CON L'IP DELLA LINUX BOX,FACCIO IL MASQUERADE# PREROUTING : (DNAT) QUANDO DEVO FAR ENTRARE IN UN SERVER INTERNO ALLALAN QUALCUNO ATTRAVERSO LA LINUX BOX

#iptables -t nat -A POSTROUTING -s 10.10.1.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -p icmp -s 10.10.1.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s 10.10.1.2 --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 443 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 22 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 21 -j MASQUERADE

#iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 6667 -jMASQUERADE#iptables -t nat -A POSTROUTING -p tcp -s 10.10.1.2 --dport 4662 -jMASQUERADE#iptables -t nat -A POSTROUTING -p udp -s 10.10.1.2 --dport 4672 -jMASQUERADE

PING VERSO L'ESTERNO DA PARTE DEI CLIENT LAN
iptables -t nat -A POSTROUTING -p icmp -s 10.10.1.2 -j MASQUERADE
######   ACCETTO SOLO PACCHETTI RELATIVI A CONNESSIONI STABILITE E "RELATED"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

########## END REGOLE NAT########################################################

##################################################################################################

#************************************* FINE******************************************************

Reply to:

Follow-Ups:
- Re: L'ip forward non mi funziona..
  - From: Gino <ginofiliberti2@yahoo.it>
- Re: L'ip forward non mi funziona..
  - From: Davide Prina <davide.prina@gmail.com>

Prev by Date: Debian, UsbNet e Familiar
Next by Date: Re: Cambiare i permessi
Previous by thread: Re: Debian, UsbNet e Familiar
Next by thread: Re: L'ip forward non mi funziona..
Index(es):
- Date
- Thread