[Primipassi] IPTABLES:...non mi lascia passare

Andrea Cataldi a.cataldi@microvideo2000.com
Mer 18 Gen 2006 12:04:33 CET 

Ciao a tutti,
ho "ereditato" un server (debian sarge) che tra vari servizi fa anche da
firewall.

Ha due schede di rete: una verso il router, l'altra verso la nostra rete
interna.

Vorrei che dalla nostra rete fosse possibile contattare degli host
esterni alla porta 3000
Per questa motivo è stata inserita questa regola.:
iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT


estratto del mio iptables:
*********************************************************
*********************************************************
#!/bin/sh
iptables -P FORWARD DROP

# Creo le catene tra la Lan e Internet
iptables -N laninet
iptables -N inetlan

# Identifico l'uso delle due catene nei due flussi
iptables -A FORWARD -i eth0 -o eth1 -j inetlan
iptables -A FORWARD -i eth1 -o eth0 -j laninet

# Policy del traffico uscente
iptables -A laninet -s ! 10.0.3.0/24 -j DROP
iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT
...
...
iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
*********************************************************
*********************************************************

con iptables -L:
*********************************************************
*********************************************************

Chain FORWARD (policy DROP)
target     prot opt source               destination
inetlan    all  --  anywhere             anywhere
laninet    all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination



Chain laninet (1 references)
target     prot opt source          destination
DROP       all  -- !10.0.3.0/24     anywhere
ACCEPT     tcp  --  anywhere        anywhere        tcp dpts:3000:3100

ACCEPT     all  --  anywhere    anywhere     state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere      anywhere       reject-with tcp-reset

*********************************************************
*********************************************************

Innanzitutto non funziona...
Oltre qs  il problema è che non so cosa guardare per vedere cosa
succede. Ci sono dei log per vedere se iptables ha rifiutato delle
connessioni?
Ho provato a leggere un po di materiale su iptables, ma c'è qualcosa che
non ho capito..altrimenti funzionava:-)

se provo ad inserire una regola "a mano" viene correttamente aggiunta.

ma se provo a "ricaricare" tutto il firewall con
iptables-restore < miofirewall

mi da errore
iptables-restore: lines 2 failed.

Grazie per qualsiasi suggerimento

Ciao
Andrea

Maggiori informazioni sulla lista primipassi