[FoLUG] p3scan-dmz
ivan
i.f-ml01@darthxiong.net
Gio 29 Giu 2006 15:12:02 CEST
On 2006-06-28 18:54, Andrea Bencini wrote:
> Ho installato p3scan (192.168.0.2) nella mia dmz, ma non funziona.
> $IPTABLES -t nat -A POSTROUTING -o $EST_IFACE -j SNAT --to $EST_IF
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> DNAT --to-destination $P3SCAN:$PORP3
quindi i paccheti che cercano una porta 110 vengono nattati verso la
dmz, dalla dmz arrivano pacchetti inviati da 192.* per 10.* , che non
hanno relazione con i pacchetti da 10.* a IPpubblico. mi spiace ma penso
che piu' di un REDIRECT tu non possa fare ( quindi p3scan sul fw ). non
dice niente p3scan sulle conf di rete supportate ?
> Dal mio client (10.100.0.2) scarico la posta.
>
> Per capire qualcosa ho eseguito un tcpdump sul mio firewall e su p3scan.
> Firewall-tcpdump
> 5 0.030730 10.100.0.2 62.211.72.30 TCP 1204 > pop3 [SYN] Seq=0 Ack=0
> Win=64512 Len=0 MSS=1460
> 6 0.000084 10.100.0.2 192.168.0.2 TCP 1204 > 8110 [SYN] Seq=0 Ack=0
> Win=64512 Len=0 MSS=1460
> p3scan-tcpdump.
> 5 3.235369 10.100.0.2 192.168.0.2 TCP 1204 > 8110 [SYN] Seq=0 Ack=0
> Win=64512 Len=0 MSS=1460
> 6 0.000059 192.168.0.2 10.100.0.2 TCP 8110 > 1204 [SYN, ACK] Seq=0
> Ack=1 Win=5840 Len=0 MSS=1460
vedi da te che i pacchetti di ritorno non combaciano con quelli di
andata. cosi' non puo' funzionare.
metti p3scan sul fw, e cambia la regola
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> DNAT --to-destination $P3SCAN:$PORP3
in
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> REDIRECT --to-port $PORP3
se poi vuoi proprio p3scan in dmz, invece di un DNAT metti su una
tabella di routing, segnando con MANGLE i pacchetti diretti a porta 110,
e poi routando i pacchetti manglati verso $P3SCAN, e su $P3SCAN metti un
REDIRECT da porta 110 a $PORP3
--
(@_ Ivan Fabris, S. Sofia (FC,it) PowerPC e Debian GNU/linux SID _*)
//\ www.folug.org pgp key @ www.keyserver.net /\\
V_/_ lunga vita e prosperita' _\_V
Maggiori informazioni sulla lista
FoLUG