Problema routing con server

gorion · mar 08 mar , 2005 8:20 pm

la sintassi era quello che conoscevo io allora

avevo problemi con il firewall, ora sembra tutto risolto.

Preferisco impostare le rotte sul server così se devo cambiare qualcosa agisco su di una macchina sola (non c'è dominio e non ho modo di pushare configurazioni ...)

Mille grazie per le dritte.....

TheIrish · mer 09 mar , 2005 11:10 am

avevo problemi con il firewall, ora sembra tutto risolto.

succede

Preferisco impostare le rotte sul server così se devo cambiare qualcosa agisco su di una macchina sola (non c'è dominio e non ho modo di pushare configurazioni ...)

sì, certo, è quello che avrei fatto io. Te l'ho suggerito se non altro per una questione di carico.

gorion · mer 09 mar , 2005 11:17 am

ho qualche problemino con il firewall

TheIrish · mer 09 mar , 2005 2:21 pm

se magari ci posti il tuo script...

gorion · mer 09 mar , 2005 2:22 pm

magari non hai tutti i torti neanche tu

gorion · mer 09 mar , 2005 6:58 pm

eccolo, non è un granchè

TheIrish · mer 09 mar , 2005 11:21 pm

Ok, non chiedermi troppo che oggi sono fuso

C'è una cosa che non mi torna nel tuo script. Il forward c'è da dentro a fuori (per tutto) e da fuori a dentro (established, related)... ma da dentro a dentro?
E' proprio questo il nostro problema!

gorion · mer 09 mar , 2005 11:51 pm

sai che non ci avevo pensato ?

beh potrei mettere un qualcosa del tipo

iptables -A FORWARD -i eth1 -o eth1 -j ACCEPT

oppure potrei usare lo stateful inspector aggiungendo new.... anche se alla fine una regola di carattere generale come quella sopra potrebbe bastare

mmm faccio delle prove.....

ho dovuto mettere questa (dando un occhio ai logs) iptables -A OUTPUT -o $LANIP -s $LAN_ETH1 -p udp -j ACCEPT ma non ho ben chiaro perchè.....

in pratica dovrebbe essere quello che dal firewall (e solo da lui per via di -s) esce verso la lan accettalo...... altrimenti non mi risolveva determinati indirizzi diretti da eth1 al router su eth1 ... mmmm

TheIrish · gio 10 mar , 2005 12:04 am

stavo controllando una cosina...
tu scrivi:

Codice: Seleziona tutto

iptables -A OUTPUT -o $LANIP -s $LAN_ETH1 -p udp -j ACCEPT

-o? Non credo sia corretto, come non lo credo sia in tutti i punti in cui lo hai usato.

Codice: Seleziona tutto

 -o : INTERFACCIA di uscita
-i : INTERFACCIA di ingresso
-s : INDIRIZZO sorgente
-d : INDIRIZZO di destinazione

O sbaglio?
In più, ammeno che tu non usi patch di qualche tipo, il kernel non supporta questa notazione: LANIP="192.168.1.0/255.255.255.0" come da te scritto, ma questa: LANIP="192.168.1.0/24

gorion · gio 10 mar , 2005 12:11 am

sai che non saprei?

osservando le regole create le accetta (iptables -L) e i pacchetti me li maschera correttamente.....

se metto sulla catena di output -i me lo rifiuta, vuole -o.

Una domanda, dove abilito la risoluzione dei dns, imponendo regole sulle catene di input e output, permetto al firewall di risolversi per i fatti suoi gli indirizzi, ma questo non conta nulla per quanto riguarda la risoluzione da parte dei pc della lan che usano la macchina col firewall come gateway, giusto ? In quel caso usano la catena forward dalla LAN al router, o sbaglio ?

gorion · gio 10 mar , 2005 12:17 am

così come sulla catena di input mi accetta solo -i

può darsi che ci siano differenze a seconda della distribuzione usata ?

gorion · gio 10 mar , 2005 12:24 am

iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.0.0/24 anywhere

converte lui il formato che più aggrada al kernel

svelato l'arcano

TheIrish · gio 10 mar , 2005 12:43 pm

scusami, mi faresti un iptables -L con tutto lo script già eseguito? quella questione del -i mi incuriosisce. Infatti, anche a me lo accetta se gli fornisco un indirizzo annziché un'interfaccia... peccato che non funzioni.
+ che una questione di distribuzione, può essere una questione di kernel

gorion · gio 10 mar , 2005 1:24 pm

[root@localhost initscripts]# iptables -A INPUT -o eth0 -j ACCEPT
iptables v1.2.9: Can't use -o with INPUT

Try `iptables -h' or 'iptables --help' for more information.

iptables -A INPUT -o 10.217.137.6 -j ACCEPT
iptables v1.2.9: Can't use -o with INPUT

Try `iptables -h' or 'iptables --help' for more information.

come ti dicevo , proprio la catena non accetta -o , viceversa con OUTPUT non accetta -i.

TheIrish · gio 10 mar , 2005 1:37 pm

abbiamo le idee un po' confuse eh?
Ovvio!!
ptables -A INPUT -o eth0 -j ACCEPT
come fai a dire alla catena di INPUT da che parte deve USCIRE!!
Cercherò di riassumere...

Codice: Seleziona tutto

iptables -A INPUT -i <interfaccia_input> -s <indirizzo_origine> -j <target>
iptables -A OUTPUT -o <inrfaccia_output> -d <indirizzo_destinazione> -j <target>
iptables -A FORWARD -i <interfaccia_input> -o <interfaccia_output> -s <indirizzo_origine> -d <indirizzo_destinazione> -j TARGET

Problema routing con server

Login • Iscriviti