[risolto] [OT] regole iptables per dmz

Discussioni Varie

Moderatore: phpBB Moderatori

Messaggioda Tokka » dom gen 22, 2012 7:01 pm

Scusate l'ot, ma avrei bisogno di configurare una macchina come exposed host/dmz tramite iptables, su un server connesso in umts.
Tra quello che ho trovato fin'ora, ero arrivato a questo, ma sembra non andare:
Codice: Seleziona tutto
iptables -P FORWARD DROP

iptables -t nat -A PREROUTING -i ppp0 \
-j DNAT --to-destination 192.168.1.5

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth0 -d 192.168.1.5 \
-m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


Se avete suggerimenti e/o correzioni sono bene accetti ;D
Avatar utente
Tokka
Guru
Guru
 
Messaggi: 4144
Iscritto il: gio feb 23, 2006 11:04 am
Località: 7113 fw mod con asterisk 1.8, 7240 fw mod con asterisk 11, 7140 fw mod con umts
Ha ringraziato: 9 volte
Hai ringraziamenti: 11 volte

Messaggioda skizzo3000 » lun gen 23, 2012 3:52 pm

se è tutta la conf... secondo me sarebbe da rivedere...
cmq come prima prova togliere la prima riga
iptables -P FORWARD DROP

Poi io strutturerei la conf così:
-F INPUT
-F OUTPUT
-t nat -F PREROUTING
-t nat -F POSTPROUTING
-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD ACCEPT

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-t nat -A PREROUTING -i ppp0 -j DNAT --to-destination 192.168.1.5

-t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Fai sempre a tempo a chiudere il forward se con questa conf funziona
-A FORWARD -i ppp0 -p tcp --dport 80,443 -d 192.168.1.5 -j ACCEPT
-A FORWARD -i ppp0 -p udp --dport 5060 -d 192.168.1.5 -j ACCEPT
-A FORWARD -i ppp0 -j DROP

Sk3

per questo messaggio l’autore skizzo3000 ha ricevuto un ringraziamento da:
Tokka (mer gen 25, 2012 5:11 pm)
Valutazione: 33.33%
 
Avatar utente
skizzo3000
phpBB Moderator
phpBB Moderator
 
Messaggi: 4531
Iscritto il: sab lug 08, 2006 9:29 pm
Località: Padova
Ha ringraziato: 2 volte
Hai ringraziamenti: 63 volte

Messaggioda Tokka » lun gen 23, 2012 6:37 pm

Ciao Sk, ho provato anche i tuoi comandi, ma pare non volerne sapere :(
A memoria non mi pare che 3 applichi filtri, ma per scrupolo ho messo un range di porte dalla 80 alla 20000, giusto per essere sicuro.
Mi sta sfuggendo qualcosa, ma non capisco cosa :-\
In sostanza dovrebbe essere un semplice reindirizzamento delle porte dallo scatolo connesso via chiavetta, al router che fa da firewall interno, in modo da poter poi gestire le porte tramite router per quanto riguarda i pc, e lasciare lo scatolo in sicurezza (allo stato attuale non è raggiungibile dall'esterno, o almeno io non sono riusco ad entrarci :P).
Non so se il blocco attuale può essere causato dai lavori che sta eseguendo la 3 in questa zona, visto che attualmente la connessione hsdpa non va...ma non credo ::)
Avatar utente
Tokka
Guru
Guru
 
Messaggi: 4144
Iscritto il: gio feb 23, 2006 11:04 am
Località: 7113 fw mod con asterisk 1.8, 7240 fw mod con asterisk 11, 7140 fw mod con umts
Ha ringraziato: 9 volte
Hai ringraziamenti: 11 volte

Messaggioda skizzo3000 » lun gen 23, 2012 8:52 pm

mi dispiace ma tre è come fastweb ... è tutto nattato quindi no ip pubblico :(

Sk3
Avatar utente
skizzo3000
phpBB Moderator
phpBB Moderator
 
Messaggi: 4531
Iscritto il: sab lug 08, 2006 9:29 pm
Località: Padova
Ha ringraziato: 2 volte
Hai ringraziamenti: 63 volte

Messaggioda Tokka » lun gen 23, 2012 9:27 pm

In effetti questa cosa l'avevo già notata a suo tempo facendo degli esperimenti, e il fatto che il server fosse irraggiungibile dall'esterno senza configurazioni particolari ne era la conferma :(
Comunque per quello che sto realizzando non è un problema così grave O0
Quando avrò finito magari qualcuno che non ha 3 si potrà pure sbizzarrire ;D
Grazie Sk, prezioso come sempre ;)


[risolto]: anche se confermo il nat di 3 (che comunque leggendo sul web "dovrebbe" aver iniziato a fornire ip pubblici da novembre 2008....ma sorvoliamo...), l'esecuzione delle regole va effettuata creando un apposito file in /etc/ppp/ip-up.d, reso eseguibile tramite chmod +x, che verrà avviato al momento in cui viene stabilita la connessione.
Tnx Sk ;)
Avatar utente
Tokka
Guru
Guru
 
Messaggi: 4144
Iscritto il: gio feb 23, 2006 11:04 am
Località: 7113 fw mod con asterisk 1.8, 7240 fw mod con asterisk 11, 7140 fw mod con umts
Ha ringraziato: 9 volte
Hai ringraziamenti: 11 volte


  • Argomento simile
    Risposte
    Visite
    Autore

Torna a Off-Topic

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron