View previous topic :: View next topic |
Author |
Message |
FreeManAtomic Guru
Joined: 01 Feb 2005 Posts: 365
|
Posted: Mon Jun 19, 2006 7:45 am Post subject: due problemi, firewall/dns |
|
|
Ciao,
ho un problema, e l'altro probabilmente una mia incompetenza, passo ad esporli.
Ho due tronconi di rete 172.16.0.0/255.255.128.0 (A) e 172.16.0.0/255.255.192.0 (B) piazzati su due switch diversi, ed una macchina Firewall che ha tre schede di rete (due sole necessarie per i problemi), in cui arrivano i due troncono A e B.
Dentro al troncone A, si trovano, 2 fs (samba), dns (djbdns), dhcp ed altro, Ovviamente B utilizza il dns in A e il dhcp in A. Ed ha anche la necessità di accedere ai fs di A.
Spero sia chiaro il quadro.
I problemi sono questi:
1) Per politiche di sicurezza, B è isolata al massimo nei confronti di A, vale a dire da B ad A deve passare il minimo indispensabile, attualmente il fw fa il redirect delle richieste dns e dhcp. Il problema e' il senguente, nel troncone A e' stato aggiunto un nuovo fileserver mantenendo lo stesso nome simboliso "fileserver" (172.16.100.25) ma ovviamente con nuovo ip, ed il vecchio "fileserver" (172.16.100.10) ha cambiato nome in "printers" (ed altri alias). Il problema è che alcune macchine (WINDOWS!!) si ostinano a ritornare il vecchio IP 172.16.100.10, invece del nuovo .25. Questo nel troncone A accade ad alcune macchine, invece quelle del troncone B non ne voglionio sapere ritornanto sempre il .10!!!!
2) Il secondo problema (questa e' la mia incompentenza!) il firewall (come dicevo prima) per politica di isolamento, prima aveva una regola del genere :
Quote: |
$IPTABLES -A FORWARD -i $PUBLIC -o $INTIF -s $TUXNET -p udp -d $FS -m udp --dport 137 -j ACCEPT
$IPTABLES -A FORWARD -i $PUBLIC -o $INTIF -s $TUXNET -p udp -d $FS -m udp --dport 138 -j ACCEPT
$IPTABLES -A FORWARD -i $PUBLIC -o $INTIF -s $TUXNET -p tcp -d $FS -m tcp --dport 139 -j ACCEPT
$IPTABLES -A FORWARD -i $PUBLIC -o $INTIF -s $TUXNET -p tcp -d $FS -m tcp --dport 445 -j ACCEPT
|
quindi io (il firewall non e' stato scritto da me... non sono proprio un mago di iptables!) ho aggiunto delle righe uguali a sopra, ma variando $FS con l'altro IP.
Ma se provo ad accedere da B ($PUBLIC) (con fileserver non funziona per il problema 1) con ipaddress non ne vuole sapere di raggiungere la macchina.
Qualche aiutino?
Grazie |
|
Back to top |
|
|
Ilvalle Guru
Joined: 07 Mar 2005 Posts: 325 Location: Gallarate - ITALY
|
Posted: Mon Jun 19, 2006 8:04 am Post subject: |
|
|
le regole di iptables si escludono a vivenda in alcuni casi.
Quando viene passato un pacchetto, la prima regola che fa match risponde, dall'alto al basso.
Prova dunque a controllare se prima delle regole che hai aggiunto non ci fosse qualcosa di strano -j DROP (esempio) ecc.Sempre ipotizando che prerouting accetti tutto.
Sezione di FORWARD
Code: | iptables -t filter -nL |
valle |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|