<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
<title></title>
</head>
<body text="#000000" bgcolor="#ffffff">
Lo script è corretto.<br>
Deve funzionare.<br>
<br>
Nei log non vedi niente perchè non chiedi di loggare.<br>
Per farlo devi fare una cosa tipo:<br>
<br>
...<br>
iptables -A inetlan -j LOG --log-prefix "Droppato: inetlan"<br>
iptables -A inetlan -j DROP<br>
...<br>
<br>
Prova fare anche un :<br>
tcpdump -i eth0 port 3000<br>
<br>
e poi a tentare l'accesso ai server esterni.<br>
<br>
Ciao<br>
Aldo<br>
<br>
<br>
Andrea Cataldi wrote:<br>
<blockquote type="cite"
cite="mid20060120155912.6898.qmail@web27012.mail.ukl.yahoo.com">
<pre wrap="">Aldo Podavini:
</pre>
<blockquote type="cite">
<pre wrap="">Cosa c'è nella catena inetlan ?
</pre>
</blockquote>
<pre wrap=""><!---->
Andrea Zagli
</pre>
<blockquote type="cite">
<pre wrap="">comunque prova a mandare tutto il file delle regole
</pre>
</blockquote>
<pre wrap=""><!---->
questo è quello che intendevo per file "di testo" e che avevo provato a passare
a iptables-restore.
#!/bin/sh
iptables -P FORWARD DROP
# Creo le catene tra la Lan e Internet
iptables -N laninet
iptables -N inetlan
# Identifico l'uso delle due catene nei due flussi
iptables -A FORWARD -i eth0 -o eth1 -j inetlan
iptables -A FORWARD -i eth1 -o eth0 -j laninet
# Policy del traffico uscente
iptables -A laninet -s ! 10.0.3.0/24 -j DROP
iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT
iptables -A laninet -p tcp --dport 21 -j ACCEPT
iptables -A laninet -p tcp --dport 20 -j ACCEPT
iptables -A laninet -p tcp --dport 22 -j ACCEPT
iptables -A laninet -p tcp --dport 23456 -j ACCEPT
iptables -A laninet -p tcp --dport 5900 -j ACCEPT
iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
# Policy traffico nella lan
iptables -A inetlan -s 10.0.3.0/24 -j DROP
iptables -A inetlan -p tcp --dport 20 -j ACCEPT
iptables -A inetlan -p tcp --dport 21 -j ACCEPT
iptables -A inetlan -p tcp --dport 22 -j ACCEPT
iptables -A inetlan -p tcp --dport 80 -j ACCEPT
iptables -A inetlan -p tcp --dport 4000 -j ACCEPT
iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset
# Modifiche per +++
iptables -t nat -A PREROUTING -p tcp --dport 10022 -i eth0 -j DNAT
--to-destination 10.0.3.4:22
iptables -t nat -A PREROUTING -p tcp --dport 10080 -i eth0 -j DNAT
--to-destination 10.0.3.4:80
# Modifiche per +++
iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT
--to-destination 10.0.3.75:20
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT
--to-destination 10.0.3.75:21
# Modifiche per +++
iptables -t nat -A PREROUTING -p tcp --dport 4000 -i eth0 -j DNAT
--to-destination 10.0.3.10:4000
</pre>
</blockquote>
<br>
</body>
</html>