[FoLUG] p3scan-dmz
Andrea Bencini
andrea.bencini@tin.it
Mer 28 Giu 2006 18:54:52 CEST
Ho installato p3scan (192.168.0.2) nella mia dmz, ma non funziona.
Spieghero' che cosa ho fatto e come e' fatta la mia rete.
Ho un firewall (iptables) (kernel 2.6) con tre interfacce; eth0 e' dalla
parte della mia rete locale (10.100.0.1/24), eth1 e' verso l'esterno
(Internet) (150.x.y.t) e eth2 e' nella mia rete dmz (192.168.0.1/24).
Per testare ho aggiunto delle regole al mio firewall che permettono di
accettare tutto tra la rete locale
e la dmz e tra la dmz e l'esterna (e viceversa). Quando funzionera' faro'
delle restrizioni.
Riporto queste regole
LOC_IFACE=eth0
LOC_ADDR=10.100.0.0/24
LOC_IF=10.100.0.1
EST_IFACE=eth1
EST_ADDR=150.x.y.z/255.255.255.252
EST_IF=150.x.y.t
DMZ_IFACE=eth2
DMZ_ADDR=192.168.0.0/24
DMZ_IF=192.168.0.1
PORP3=8110
P3SCAN=192.168.0.2
# LOCale <---> ESTerna
#
# sono quelle che sono,comunque funzionanti
#
# DMZ <---> ESTerna
#
$IPTABLES -A FORWARD -o $EST_IFACE -s $DMZ_ADDR -j ACCEPT
$IPTABLES -A FORWARD -i $EST_IFACE -d $DMZ_ADDR -j ACCEPT
# LOC <---> DMZ
#
$IPTABLES -A FORWARD -o $DMZ_IFACE -s $LOC_ADDR -j ACCEPT
$IPTABLES -A FORWARD -i $DMZ_IFACE -d $LOC_ADDR -j ACCEPT
#
#
$IPTABLES -t nat -A POSTROUTING -o $EST_IFACE -j SNAT --to $EST_IF
$IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
DNAT --to-destination $P3SCAN:$PORP3
Dal mio client (10.100.0.2) scarico la posta.
Per capire qualcosa ho eseguito un tcpdump sul mio firewall e su p3scan.
Firewall-tcpdump
5 0.030730 10.100.0.2 62.211.72.30 TCP 1204 > pop3 [SYN] Seq=0 Ack=0
Win=64512 Len=0 MSS=1460
6 0.000084 10.100.0.2 192.168.0.2 TCP 1204 > 8110 [SYN] Seq=0 Ack=0
Win=64512 Len=0 MSS=1460
p3scan-tcpdump.
5 3.235369 10.100.0.2 192.168.0.2 TCP 1204 > 8110 [SYN] Seq=0 Ack=0
Win=64512 Len=0 MSS=1460
6 0.000059 192.168.0.2 10.100.0.2 TCP 8110 > 1204 [SYN, ACK] Seq=0
Ack=1 Win=5840 Len=0 MSS=1460
Nel file di configurazione p3scan.con non ho cambiato niente e ho lasciato
tutto a default.
Qualcuno mi puo' aiutare a capirci qualcosa?
Grazie
Andrea
Maggiori informazioni sulla lista
FoLUG