[Primipassi] IPTABLES:...non mi lascia passare

Andrea Cataldi pischellinux@yahoo.it
Sab 21 Gen 2006 10:57:08 CET 

Posto anche il risultato di iptables-save perchè credo che da qs si possa
vedere quello che effettivamente è "attivo", rispetto a quello che credo che
sia attivo...

********************************************
********************************************
MVS:~# iptables-save >pippo2
MVS:~# less pippo2
# Generated by iptables-save v1.2.11 on Sat Jan 21 10:40:24 2006
*nat
:PREROUTING ACCEPT [26998:1935475]
:POSTROUTING ACCEPT [11384:689631]
:OUTPUT ACCEPT [11384:689631]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 10022 -j DNAT --to-destination
10.0.3.4:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 10080 -j DNAT --to-destination
10.0.3.4:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20 -j DNAT --to-destination
10.0.3.75:20
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination
10.0.3.75:21
-A PREROUTING -i eth0 -p tcp -m tcp --dport 4000 -j DNAT --to-destination
10.0.3.10:4000
COMMIT
# Completed on Sat Jan 21 10:40:24 2006
# Generated by iptables-save v1.2.11 on Sat Jan 21 10:40:24 2006
*filter
:INPUT ACCEPT [624216:373403843]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [653275:277557012]
:inetlan - [0:0]
:laninet - [0:0]
-A FORWARD -i eth0 -o eth1 -j inetlan
-A FORWARD -i eth1 -o eth0 -j laninet
-A inetlan -s 10.0.3.0/255.255.255.0 -j DROP
-A inetlan -p tcp -m tcp --dport 20 -j ACCEPT
-A inetlan -p tcp -m tcp --dport 21 -j ACCEPT
-A inetlan -p tcp -m tcp --dport 22 -j ACCEPT
-A inetlan -p tcp -m tcp --dport 80 -j ACCEPT
-A inetlan -p tcp -m tcp --dport 4000 -j ACCEPT
-A inetlan -m state --state RELATED,ESTABLISHED -j ACCEPT
-A inetlan -p tcp -j REJECT --reject-with tcp-reset
-A laninet -s ! 10.0.3.0/255.255.255.0 -j DROP
-A laninet -p tcp -m tcp --dport 3000:3100 -j ACCEPT
-A laninet -p tcp -m tcp --dport 21 -j ACCEPT
-A laninet -p tcp -m tcp --dport 20 -j ACCEPT
-A laninet -p tcp -m tcp --dport 22 -j ACCEPT
-A laninet -p tcp -m tcp --dport 23456 -j ACCEPT
-A laninet -p tcp -m tcp --dport 5900 -j ACCEPT
-A laninet -m state --state RELATED,ESTABLISHED -j ACCEPT
-A laninet -p tcp -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Sat Jan 21 10:40:24 2006
pippo2 (END)
********************************************
********************************************

Se faccio un dump sulla eth1 (cioè la scheda di rete verso la lan) si vede che
"qualcosa" arriva che vorrebbe andare verso al porta 3000

********************************************
********************************************

MVS:/home/andreac# tcpdump  -i eth1 dst port 3000
tcpdump: listening on eth1
10:37:28.303809 AndreaC.1146 > 253.Red-80-37-32.staticIP.rima-tde.net.3000: S
1921466825:1921466825(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:37:31.257794 AndreaC.1146 > 253.Red-80-37-32.staticIP.rima-tde.net.3000: S
1921466825:1921466825(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:37:37.273202 AndreaC.1146 > 253.Red-80-37-32.staticIP.rima-tde.net.3000: S
1921466825:1921466825(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:37:48.744573 AndreaC.1147 > host77-101.pool8291.interbusiness.it.3000: S
324039228:324039228(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:37:51.600822 AndreaC.1147 > host77-101.pool8291.interbusiness.it.3000: S
324039228:324039228(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:37:57.616229 AndreaC.1147 > host77-101.pool8291.interbusiness.it.3000: S
324039228:324039228(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)

6 packets received by filter
0 packets dropped by kernel
********************************************
********************************************


Mentre se "dumpo" eth0 (scheda verso rete esterna) si vede che non arriva
niente..


********************************************
********************************************

MVS:/home/andreac# tcpdump  -i eth0 dst port 3000
tcpdump: listening on eth0

0 packets received by filter
0 packets dropped by kernel
********************************************
********************************************


Scusate se sono un pò lungo nelle risposte, ma ammetto che mi fa girare le
scatole che non riesco ad aprire" 'na cencia di porta su un firewall..."

Grazie a tutti dell'aiuto che mi state dando.
Se avete altre prove da suggerirmi, oppure se devo dare maggiori informazioni
sulla struttura della rete o sui servizi attivi sul server, fatemi sapere.

Di nuovo grazie.
Ciao
Andrea




		
___________________________________ 
Yahoo! Messenger with Voice: chiama da PC a telefono a tariffe esclusive 
http://it.messenger.yahoo.com

Maggiori informazioni sulla lista primipassi