[Primipassi] IPTABLES:...non mi lascia passare
Aldo Podavini
a.podavini@mclink.it
Ven 20 Gen 2006 17:28:04 CET
Lo script è corretto.
Deve funzionare.
Nei log non vedi niente perchè non chiedi di loggare.
Per farlo devi fare una cosa tipo:
...
iptables -A inetlan -j LOG --log-prefix "Droppato: inetlan"
iptables -A inetlan -j DROP
...
Prova fare anche un :
tcpdump -i eth0 port 3000
e poi a tentare l'accesso ai server esterni.
Ciao
Aldo
Andrea Cataldi wrote:
>Aldo Podavini:
>
>
>>Cosa c'è nella catena inetlan ?
>>
>>
>
>Andrea Zagli
>
>
>>comunque prova a mandare tutto il file delle regole
>>
>>
>
>questo è quello che intendevo per file "di testo" e che avevo provato a passare
>a iptables-restore.
>
>#!/bin/sh
>iptables -P FORWARD DROP
>
># Creo le catene tra la Lan e Internet
>iptables -N laninet
>iptables -N inetlan
>
># Identifico l'uso delle due catene nei due flussi
>iptables -A FORWARD -i eth0 -o eth1 -j inetlan
>iptables -A FORWARD -i eth1 -o eth0 -j laninet
>
># Policy del traffico uscente
>iptables -A laninet -s ! 10.0.3.0/24 -j DROP
>iptables -A laninet -p tcp --dport 3000:3100 -j ACCEPT
>iptables -A laninet -p tcp --dport 21 -j ACCEPT
>iptables -A laninet -p tcp --dport 20 -j ACCEPT
>iptables -A laninet -p tcp --dport 22 -j ACCEPT
>iptables -A laninet -p tcp --dport 23456 -j ACCEPT
>iptables -A laninet -p tcp --dport 5900 -j ACCEPT
>iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
>
># Policy traffico nella lan
>iptables -A inetlan -s 10.0.3.0/24 -j DROP
>iptables -A inetlan -p tcp --dport 20 -j ACCEPT
>iptables -A inetlan -p tcp --dport 21 -j ACCEPT
>iptables -A inetlan -p tcp --dport 22 -j ACCEPT
>iptables -A inetlan -p tcp --dport 80 -j ACCEPT
>iptables -A inetlan -p tcp --dport 4000 -j ACCEPT
>iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset
>
># Modifiche per +++
>iptables -t nat -A PREROUTING -p tcp --dport 10022 -i eth0 -j DNAT
>--to-destination 10.0.3.4:22
>iptables -t nat -A PREROUTING -p tcp --dport 10080 -i eth0 -j DNAT
>--to-destination 10.0.3.4:80
>
># Modifiche per +++
>iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT
>--to-destination 10.0.3.75:20
>iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT
>--to-destination 10.0.3.75:21
>
># Modifiche per +++
>
>
>
>iptables -t nat -A PREROUTING -p tcp --dport 4000 -i eth0 -j DNAT
>--to-destination 10.0.3.10:4000
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/primipassi/attachments/20060120/80bdbe1c/attachment.htm>
Maggiori informazioni sulla lista
primipassi