View previous topic :: View next topic |
Author |
Message |
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sat Apr 03, 2004 6:35 pm Post subject: Problema iptables va a tratti [RISOLTO DA ME] |
|
|
Ho seguito questo topic https://forums.gentoo.org/viewtopic.php?t=156343 era giusto quello che cercavo!
premetto:
avevo gia' un sistema di forward attivo sul server, ma essendo passato da Slackware a Gentoo , ho presupposto che i comandi sarebbero stati diversi, infatti su slackware avevo un kernel versione 2.2.X (installata + di un anno fa) di conseguenza nn ho provveduto al backup dei file.
Ora, siccome nn sono molto ferrato in materia di iptables, ho cercato qlcsa che mi potesse interessare. Il topic di cui sopra, appunto.
Venendo ai fatti:
ho seguito in particolare il link fornito da Shev Shev wrote: | http://www.commedia.it/ccontavalli/docs-it/iptables/iptables4dummies/ | e senza addentrarmi troppo ho subito eseguito i cmd nella sezione Prima di cominciare,alla fine era quello che cercavo. Eseguiti senza nessun errore, mi sposto su un pc in rete e automagicamente funziona!
Mi appresto dunque a creare uno script con quelle istruzioni x avercele sempre pronte ad ogni reboot (anche se nn dovrei spegnerlo).
Mi sposto beato e contento sul ''client'' (che e' il pc che uso quotidianamente)...e sorpresa...nn funziona + niente!!
Allora di buona lena riprovo a dare i cmd dopo aver dato un Code: | echo 0 > /proc/sys/net/ipv4/ip_forward | in modo da riportare il tutto a zero.
Rilancio il mio script e il tutto funziona, solo che funziona a tempo...
vale a dire che mi sono accorto lanciando un che il client dopo 10 ping smette di dare l'output e rimane fermo se rifaccio l'esperimento di riportare a zero e rilanciare lo script il ping funziona di nuovo ma sempre e solo x 10 ping poi si ribocca. Se lo fermo con ctrl+c mi dice che chiaramente 10 pacchetti li ha ricevuti altri li ha persi.
Non so + dove guardare...
Please Help!
Last edited by ^Sporting^ on Sun Apr 04, 2004 11:30 am; edited 1 time in total |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Sat Apr 03, 2004 7:38 pm Post subject: |
|
|
dovresti postare il tuo script.
probabile che tu abbia implementato un controllo sul rate.
ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sat Apr 03, 2004 7:56 pm Post subject: |
|
|
Code: | echo '0' > /proc/sys/net/ipv4/ip_forward
echo "Attivo le regole del firewall"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Abilito il forward sulla lan"
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
echo "Riabilito l'ip forward"
echo '1' > /proc/sys/net/ipv4/ip_forward |
Preso direttamente dal link che ho postato, ripeto io ne so poco e nulla su iptables, ma nn mi sembra che ci sia qlcsa di strano. Io ho solo aggiunto e commenti.
EDIT: devo anche aggiungere che sul pc ho due schede di rete:
Code: | eth0 con ip dinamico collegata a Fastweb |
Code: | eth1 con ip statico (192.168.0.1) collegata alla lan | Quindi probabilmente ci vogliono delle regole + precise, oppure dico ca**te? |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sun Apr 04, 2004 11:34 am Post subject: |
|
|
Giusto appunto x' mi era sorto il dubbio avendo due schede di rete ho modificato lo script (e quindi il comando che avevo trovato) nel seguente modo:
Code: | echo '0' > /proc/sys/net/ipv4/ip_forward
echo "Attivo le regole del firewall"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Abilito il forward sulla lan"
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Riabilito l'ip forward"
echo '1' > /proc/sys/net/ipv4/ip_forward |
/me aggiunge al bagaglio di sapienza (nonche' al forum) |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Sun Apr 04, 2004 11:49 am Post subject: |
|
|
a dire il vero non mi sembra che una modifica del genere possa cambiare la situazione.
-o eth0 -j MASQUERADE
e
-s 192.168.0.0/24 -j MASQUERADE
anche se hanno significato diverso, per la tua situazione fino a quando hai quella config di rete sono equivalenti. (nel senso che dovrebbero funzionare entrambi)
mi assicurerei piuttosto dopo aver settato tutte le policy di default a DROP di flushare ogni tipo di catena e poi di partire con il tuo script.
ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sun Apr 04, 2004 12:45 pm Post subject: |
|
|
xchris wrote: | a dire il vero non mi sembra che una modifica del genere possa cambiare la situazione.
-o eth0 -j MASQUERADE
e
-s 192.168.0.0/24 -j MASQUERADE
anche se hanno significato diverso, per la tua situazione fino a quando hai quella config di rete sono equivalenti. (nel senso che dovrebbero funzionare entrambi)
mi assicurerei piuttosto dopo aver settato tutte le policy di default a DROP di flushare ogni tipo di catena e poi di partire con il tuo script.
ciao | e' quello che ho pensato pure io, ed in realta', x fare le prove avevo usato un altro sistema, sempre gentoo (xo' un po' meno pasticciato del mio ) e con quel sistema funzionava.
Poi sono tornato sul mio sistema e ho scoperto che faceva lo stesso difetto. Quindi ho pensato che fosse un problema del mio pc.
Cosi' sono ripartito da zero con la configurazione di rete e ho scoperto che a dare fastidio e' vmware, x', innanzitutto se e' attivo nn ti fa settare il gateway di default.
Appena lo disabilito tutto torna a funzionare (infatti ora sto scrivendo dal mio pc).
Ora avrei due domande:
1) Cosa puo' essere successo nel frattempo a vmware? l'ho sempre usato e nn ho mai avuto problemi.
2) se volessi dire con le regole di iptables che i pc abilitati al traffico sono solo determinati ip che regole dovrei adottare?
P.S.: scusa se abuso un po' della disponibilita'...xo' almeno una volta imparato... |
|
Back to top |
|
|
xchris Advocate
Joined: 10 Jul 2003 Posts: 2824
|
Posted: Sun Apr 04, 2004 1:27 pm Post subject: |
|
|
mi viene il dubbio che tu abbia impostato la rete di vmware sulla stessa della lan locale. Puo' essere?
Vmware tira su l'interfaccia vmnet8 (mi pare) e consente di fare Nat verso l'interfaccia esterna.E' possibile che ci sia qualche conflitto.
Abilitiamo il pc con IP 192.168.0.2:
Code: |
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o eth0 -j MASQUERADE
|
consiglio l'app "netmask" per calcolarca per + pc! (scoperta con debian)
Non mi pare si trovi nel portage.
ciao _________________ while True:Gentoo() |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sun Apr 04, 2004 1:45 pm Post subject: |
|
|
Provero' a riconfigurare vmware.
Grazie x le dritte
Bye!
EDIT: Come posso permettere a tutti i pc della lan di poter accedere al server? (vedi samba, webmin, vnc e altro) insomma firewall si, ma nn x me |
|
Back to top |
|
|
Beelzebubba n00b
Joined: 10 Dec 2003 Posts: 23 Location: Bologna (IT)
|
Posted: Mon Apr 05, 2004 9:20 am Post subject: |
|
|
Basta che configuri le regole di INPUT in modo che funzionino solo su ethX (dove ethX è la scheda di rete attaccata a fastweb)
Code: |
iptables -A INPUT -i ethX .....
|
e settare che le connessioni dalla rete interna siano accettate di default (ethY è la scheda di rete interna)
Code: |
iptables -A INPUT -i ethY -s 192.168.0.0/24 -j ACCEPT
|
In questo modo dovrebbe funzionare! |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Mon Apr 05, 2004 7:30 pm Post subject: |
|
|
Beelzebubba wrote: | Basta che configuri le regole di INPUT in modo che funzionino solo su ethX (dove ethX è la scheda di rete attaccata a fastweb)
Code: |
iptables -A INPUT -i ethX .....
| | Veramente volevo evitare di aprire connessioni sulla scheda di rete di fastweb Beelzebubba wrote: | e settare che le connessioni dalla rete interna siano accettate di default (ethY è la scheda di rete interna)
Code: | iptables -A INPUT -i ethY -s 192.168.0.0/24 -j ACCEPT
| In questo modo dovrebbe funzionare! | Io ho semplicemente impostato : Code: | iptables -A INPUT -i eth1 -j ACCEPT | che e' la scheda di rete interna, cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
|
Back to top |
|
|
Beelzebubba n00b
Joined: 10 Dec 2003 Posts: 23 Location: Bologna (IT)
|
Posted: Tue Apr 06, 2004 8:05 am Post subject: |
|
|
Quote: | Veramente volevo evitare di aprire connessioni sulla scheda di rete di fastweb |
Non ti ho detto di aprire connessioni sulla eth di FW, semplicemente ti suggerivo di impostare regole di firewalling 'solo' su eth di FW
Quote: | cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
In questo modo prendi tutto in input sulla rete interna, se ti funziona e la policy ti soddisfa allora è ok! |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Tue Apr 06, 2004 11:13 am Post subject: |
|
|
Beelzebubba wrote: | Non ti ho detto di aprire connessioni sulla eth di FW, semplicemente ti suggerivo di impostare regole di firewalling 'solo' su eth di FW | Ah scusa, avevo interpretato male dato che io avevo chiesto solo x la sk interna, quindi nn ho afferrato il tuo consiglio ''generale'' su come impostare le regole sulla sk di fw, che oltretutto e' gia' settata
Beelzebubba wrote: | ^Sporting^ wrote: | cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
In questo modo prendi tutto in input sulla rete interna, se ti funziona e la policy ti soddisfa allora è ok! | si, funziona ed e' esattamente quello che volevo.
Grazie!
Bye! |
|
Back to top |
|
|
|