| View previous topic :: View next topic |
| Author |
Message |
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
 Posted: Sat Apr 03, 2004 6:35 pm Post subject: Problema iptables va a tratti [RISOLTO DA ME] |
 |
|
Ho seguito questo topic https://forums.gentoo.org/viewtopic.php?t=156343 era giusto quello che cercavo!
premetto:
avevo gia' un sistema di forward attivo sul server, ma essendo passato da Slackware a Gentoo  , ho presupposto che i comandi sarebbero stati diversi, infatti su slackware avevo un kernel versione 2.2.X (installata + di un anno fa) di conseguenza nn ho provveduto al backup dei file.
Ora, siccome nn sono molto ferrato in materia di iptables, ho cercato qlcsa che mi potesse interessare. Il topic di cui sopra, appunto.
Venendo ai fatti:
ho seguito in particolare il link fornito da Shev | Shev wrote: | | http://www.commedia.it/ccontavalli/docs-it/iptables/iptables4dummies/ |
e senza addentrarmi troppo ho subito eseguito i cmd nella sezione Prima di cominciare,alla fine era quello che cercavo. Eseguiti senza nessun errore, mi sposto su un pc in rete e automagicamente funziona!
Mi appresto dunque a creare uno script con quelle istruzioni x avercele sempre pronte ad ogni reboot (anche se nn dovrei spegnerlo).
Mi sposto beato e contento sul ''client'' (che e' il pc che uso quotidianamente)...e sorpresa...nn funziona + niente!!
Allora di buona lena riprovo a dare i cmd dopo aver dato un | Code: | | echo 0 > /proc/sys/net/ipv4/ip_forward |
in modo da riportare il tutto a zero.
Rilancio il mio script e il tutto funziona, solo che funziona a tempo...
vale a dire che mi sono accorto lanciando un che il client dopo 10 ping smette di dare l'output e rimane fermo se rifaccio l'esperimento di riportare a zero e rilanciare lo script il ping funziona di nuovo ma sempre e solo x 10 ping poi si ribocca. Se lo fermo con ctrl+c mi dice che chiaramente 10 pacchetti li ha ricevuti altri li ha persi.
Non so + dove guardare... 
Please Help!
Last edited by ^Sporting^ on Sun Apr 04, 2004 11:30 am; edited 1 time in total |
|
| Back to top |
|
 |
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Apr 03, 2004 7:38 pm Post subject: |
|
|
dovresti postare il tuo script.
probabile che tu abbia implementato un controllo sul rate.
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Sat Apr 03, 2004 7:56 pm Post subject: |
|
|
| Code: | echo '0' > /proc/sys/net/ipv4/ip_forward
echo "Attivo le regole del firewall"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Abilito il forward sulla lan"
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
echo "Riabilito l'ip forward"
echo '1' > /proc/sys/net/ipv4/ip_forward |
Preso direttamente dal link che ho postato, ripeto io ne so poco e nulla su iptables, ma nn mi sembra che ci sia qlcsa di strano. Io ho solo aggiunto e commenti.
EDIT: devo anche aggiungere che sul pc ho due schede di rete:
| Code: | | eth0 con ip dinamico collegata a Fastweb |
| Code: | | eth1 con ip statico (192.168.0.1) collegata alla lan |
Quindi probabilmente ci vogliono delle regole + precise, oppure dico ca**te?   |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Sun Apr 04, 2004 11:34 am Post subject: |
|
|
Giusto appunto x' mi era sorto il dubbio avendo due schede di rete ho modificato lo script (e quindi il comando che avevo trovato) nel seguente modo:
| Code: | echo '0' > /proc/sys/net/ipv4/ip_forward
echo "Attivo le regole del firewall"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Abilito il forward sulla lan"
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Riabilito l'ip forward"
echo '1' > /proc/sys/net/ipv4/ip_forward |
/me aggiunge al bagaglio di sapienza (nonche' al forum)   |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sun Apr 04, 2004 11:49 am Post subject: |
|
|
a dire il vero non mi sembra che una modifica del genere possa cambiare la situazione.
-o eth0 -j MASQUERADE
e
-s 192.168.0.0/24 -j MASQUERADE
anche se hanno significato diverso, per la tua situazione fino a quando hai quella config di rete sono equivalenti. (nel senso che dovrebbero funzionare entrambi)
mi assicurerei piuttosto dopo aver settato tutte le policy di default a DROP di flushare ogni tipo di catena e poi di partire con il tuo script.
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Sun Apr 04, 2004 12:45 pm Post subject: |
|
|
| xchris wrote: | a dire il vero non mi sembra che una modifica del genere possa cambiare la situazione.
-o eth0 -j MASQUERADE
e
-s 192.168.0.0/24 -j MASQUERADE
anche se hanno significato diverso, per la tua situazione fino a quando hai quella config di rete sono equivalenti. (nel senso che dovrebbero funzionare entrambi)
mi assicurerei piuttosto dopo aver settato tutte le policy di default a DROP di flushare ogni tipo di catena e poi di partire con il tuo script.
ciao |
e' quello che ho pensato pure io, ed in realta', x fare le prove avevo usato un altro sistema, sempre gentoo (xo' un po' meno pasticciato del mio  ) e con quel sistema funzionava.
Poi sono tornato sul mio sistema e ho scoperto che faceva lo stesso difetto. Quindi ho pensato che fosse un problema del mio pc.
Cosi' sono ripartito da zero con la configurazione di rete e ho scoperto che a dare fastidio e' vmware, x', innanzitutto se e' attivo nn ti fa settare il gateway di default.
Appena lo disabilito tutto torna a funzionare (infatti ora sto scrivendo dal mio pc).
Ora avrei due domande:
1) Cosa puo' essere successo nel frattempo a vmware? l'ho sempre usato e nn ho mai avuto problemi.
2) se volessi dire con le regole di iptables che i pc abilitati al traffico sono solo determinati ip che regole dovrei adottare?
P.S.: scusa se abuso un po' della disponibilita'...xo' almeno una volta imparato... |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sun Apr 04, 2004 1:27 pm Post subject: |
|
|
mi viene il dubbio che tu abbia impostato la rete di vmware sulla stessa della lan locale. Puo' essere?
Vmware tira su l'interfaccia vmnet8 (mi pare) e consente di fare Nat verso l'interfaccia esterna.E' possibile che ci sia qualche conflitto.
Abilitiamo il pc con IP 192.168.0.2:
| Code: |
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o eth0 -j MASQUERADE
|
consiglio l'app "netmask" per calcolarca per + pc! (scoperta con debian)
Non mi pare si trovi nel portage.
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Sun Apr 04, 2004 1:45 pm Post subject: |
|
|
Provero' a riconfigurare vmware.
Grazie x le dritte
Bye!
EDIT: Come posso permettere a tutti i pc della lan di poter accedere al server? (vedi samba, webmin, vnc e altro) insomma firewall si, ma nn x me |
|
| Back to top |
|
|
Beelzebubba
n00b
Joined: 10 Dec 2003
Posts: 23
Location: Bologna (IT)
|
| Posted: Mon Apr 05, 2004 9:20 am Post subject: |
|
|
Basta che configuri le regole di INPUT in modo che funzionino solo su ethX (dove ethX è la scheda di rete attaccata a fastweb)
| Code: |
iptables -A INPUT -i ethX .....
|
e settare che le connessioni dalla rete interna siano accettate di default (ethY è la scheda di rete interna)
| Code: |
iptables -A INPUT -i ethY -s 192.168.0.0/24 -j ACCEPT
|
In questo modo dovrebbe funzionare! |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Mon Apr 05, 2004 7:30 pm Post subject: |
|
|
| Beelzebubba wrote: | Basta che configuri le regole di INPUT in modo che funzionino solo su ethX (dove ethX è la scheda di rete attaccata a fastweb)
| Code: |
iptables -A INPUT -i ethX .....
|
|
Veramente volevo evitare di aprire connessioni sulla scheda di rete di fastweb | Beelzebubba wrote: | e settare che le connessioni dalla rete interna siano accettate di default (ethY è la scheda di rete interna)
| Code: | iptables -A INPUT -i ethY -s 192.168.0.0/24 -j ACCEPT
|
In questo modo dovrebbe funzionare! |
Io ho semplicemente impostato : | Code: | | iptables -A INPUT -i eth1 -j ACCEPT |
che e' la scheda di rete interna, cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
|
| Back to top |
|
|
Beelzebubba
n00b
Joined: 10 Dec 2003
Posts: 23
Location: Bologna (IT)
|
| Posted: Tue Apr 06, 2004 8:05 am Post subject: |
|
|
| Quote: | | Veramente volevo evitare di aprire connessioni sulla scheda di rete di fastweb |
Non ti ho detto di aprire connessioni sulla eth di FW, semplicemente ti suggerivo di impostare regole di firewalling 'solo' su eth di FW
| Quote: | | cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
In questo modo prendi tutto in input sulla rete interna, se ti funziona e la policy ti soddisfa allora è ok!  |
|
| Back to top |
|
|
^Sporting^
Tux's lil' helper
Joined: 06 Oct 2003
Posts: 131
Location: 009°11'28'' E 045°36'39'' N
|
| Posted: Tue Apr 06, 2004 11:13 am Post subject: |
|
|
| Beelzebubba wrote: | | Non ti ho detto di aprire connessioni sulla eth di FW, semplicemente ti suggerivo di impostare regole di firewalling 'solo' su eth di FW |
Ah scusa, avevo interpretato male dato che io avevo chiesto solo x la sk interna, quindi nn ho afferrato il tuo consiglio ''generale'' su come impostare le regole sulla sk di fw, che oltretutto e' gia' settata
| Beelzebubba wrote: | | ^Sporting^ wrote: | | cosi' se ho capito bene bypasso interamente il firewall lato interno senza modificare nulla dal lato esterno, giusto? |
In questo modo prendi tutto in input sulla rete interna, se ti funziona e la policy ti soddisfa allora è ok! |
si, funziona ed e' esattamente quello che volevo.
Grazie!
Bye! |
|
| Back to top |
|
|
|
Forum italiano (Italian)
