[FoLUG] p3scan-dmz

[Andrea Bencini]

Prendo spunto da quello che hai detto, se vado a buon fine ti faro' sapere.
Ti ringrazio
Andrea

> Ho installato p3scan (192.168.0.2) nella mia dmz, ma non funziona.

> $IPTABLES -t nat -A POSTROUTING -o $EST_IFACE -j SNAT --to $EST_IF
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> DNAT --to-destination $P3SCAN:$PORP3

quindi i paccheti che cercano una porta 110 vengono nattati verso la
dmz, dalla dmz arrivano pacchetti inviati da 192.* per 10.* , che non
hanno relazione con i pacchetti da 10.* a IPpubblico. mi spiace ma penso
che piu' di un REDIRECT tu non possa fare ( quindi p3scan sul fw ). non
dice niente p3scan sulle conf di rete supportate ?

> Dal mio client (10.100.0.2) scarico la posta.
>
> Per capire qualcosa ho eseguito un tcpdump sul mio firewall e su  p3scan.
> Firewall-tcpdump
> 5 0.030730  10.100.0.2   62.211.72.30  TCP  1204 > pop3 [SYN] Seq=0 Ack=0
> Win=64512 Len=0 MSS=1460
> 6 0.000084  10.100.0.2   192.168.0.2    TCP  1204 > 8110 [SYN] Seq=0 Ack=0
> Win=64512 Len=0 MSS=1460

> p3scan-tcpdump.
> 5 3.235369  10.100.0.2    192.168.0.2    TCP  1204 > 8110 [SYN] Seq=0
Ack=0
> Win=64512 Len=0 MSS=1460
> 6 0.000059  192.168.0.2  10.100.0.2      TCP   8110 > 1204 [SYN, ACK]
Seq=0
> Ack=1 Win=5840 Len=0 MSS=1460

vedi da te che i pacchetti di ritorno non combaciano con quelli di
andata. cosi' non puo' funzionare.

metti p3scan sul fw, e cambia la regola
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> DNAT --to-destination $P3SCAN:$PORP3
in
> $IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 110 -j
> REDIRECT  --to-port $PORP3

se poi vuoi proprio p3scan in dmz, invece di un DNAT metti su una
tabella di routing, segnando con MANGLE i pacchetti diretti a porta 110,
e poi routando i pacchetti manglati verso $P3SCAN, e su $P3SCAN metti un
REDIRECT da porta 110 a $PORP3