[Primipassi] IPTABLES:...non mi lascia passare
Aldo Podavini
a.podavini@mclink.it
Ven 20 Gen 2006 15:43:52 CET
Cosa c'è nella catena inetlan ?
Vengono fatti passare i pacchetti relativi alle connessioni già stabilite ?
Se così non fosse i pacchetti dai tuoi client ai server esterni escono,
ma le risposte non rientrano.
Ciao
Aldo
Andrea Cataldi wrote:
> Ciao a tutti,
> ho "ereditato" un server (debian sarge) che tra vari servizi fa anche da
> firewall.
>
> Ha due schede di rete: una verso il router, l'altra verso la nostra rete
> interna.
>
> Vorrei che dalla nostra rete fosse possibile contattare degli host
> esterni alla porta 3000
> Per questa motivo è stata inserita questa regola.:
> iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT
>
>
> estratto del mio iptables:
> *********************************************************
> *********************************************************
> #!/bin/sh
> iptables -P FORWARD DROP
>
> # Creo le catene tra la Lan e Internet
> iptables -N laninet
> iptables -N inetlan
>
> # Identifico l'uso delle due catene nei due flussi
> iptables -A FORWARD -i eth0 -o eth1 -j inetlan
> iptables -A FORWARD -i eth1 -o eth0 -j laninet
>
> # Policy del traffico uscente
> iptables -A laninet -s ! 10.0.3.0/24 -j DROP
> iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT
> ...
> ...
> iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
> *********************************************************
> *********************************************************
>
> con iptables -L:
> *********************************************************
> *********************************************************
>
> Chain FORWARD (policy DROP)
> target prot opt source destination
> inetlan all -- anywhere anywhere
> laninet all -- anywhere anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
>
>
> Chain laninet (1 references)
> target prot opt source destination
> DROP all -- !10.0.3.0/24 anywhere
> ACCEPT tcp -- anywhere anywhere tcp dpts:3000:3100
>
> ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
> REJECT tcp -- anywhere anywhere reject-with tcp-reset
>
> *********************************************************
> *********************************************************
>
> Innanzitutto non funziona...
> Oltre qs il problema è che non so cosa guardare per vedere cosa
> succede. Ci sono dei log per vedere se iptables ha rifiutato delle
> connessioni?
> Ho provato a leggere un po di materiale su iptables, ma c'è qualcosa che
> non ho capito..altrimenti funzionava:-)
>
> se provo ad inserire una regola "a mano" viene correttamente aggiunta.
>
> ma se provo a "ricaricare" tutto il firewall con
> iptables-restore < miofirewall
>
> mi da errore
> iptables-restore: lines 2 failed.
>
> Grazie per qualsiasi suggerimento
>
> Ciao
> Andrea
>
>
>
Maggiori informazioni sulla lista
primipassi