PROBLEMA #1
Un router è collegato ad internet attraverso modem USB (connessione funzionante senza problemi) e presenta 3 schede di rete:
eth0 (su cui gira il server DHCP) ---> LAN
eth1 ---> DMZ
eth2 ---> VoIP
Ritenevo di aver costruito una serie di regole e di catene corrette, mentre invece la LAN non riesce a navigare (andiamo per ordine e cerchiamo di risolvere un problema alla volta; prossimamente sarà il turno della DMZ e poi del VoIP).
Ecco il codice che finora ho scritto e che non funziona
nemo ha scritto: IMPOSTAZIONE VARIABILICodice: Seleziona tutto
IP=192.168.0.30 IP_SERVER=192.168.0.31 INT_RETE_ESTERNA=ppp0 INT_RETE_INTERNA=eth0 INT_SERVER=eth1 INT_VOIP=eth2 LANIN=192.168.0.0/24
nemo ha scritto: GATAWAY E DHCP
maschero gli indirizzi della LAN diretti verso la rete esterna, configuro le schede di rete, avvio il server DHCPCodice: Seleziona tutto
iptables -t nat -A POSTROUTING -o $INT_RETE_ESTERNA -J MASQUERADE ifconfig $INT_RETE_INTERNA $IP netmask 255.255.255.0 up ifconfig $INT_SERVER $IP_SERVER netmask 255.255.255.0 up dhcpd $INT_RETE_INTERNA
nemo ha scritto: POLICY
rimuovo le regole delle catene e le catene definite dall'utente, azzero i contatori, accetto quello che esce verso l'esterno, blocco tutto quello che entra o è di passaggio.Codice: Seleziona tutto
iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP
nemo ha scritto: REGOLE DI INPUT
dovrebbe essere accettato tutto quello che viene dal localhost, dalla rete interna e dal server; quello che viene dalla rete esterna viene accettato solo se soddisfa determinate condizioni; la porta 53 del DNS è aperta.Codice: Seleziona tutto
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT iptables -A INPUT -i $INT_RETE_INTERNA -j ACCEPT iptables -A INPUT -i $INT_SERVER -j ACCEPT iptables -A INPUT -i $INT_RETE_ESTERNA -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT
Beninteso: alcune regole, come queste ultime due, devono essere riviste e certamente mancano mooooooolte caratteristiche di sicurezza. Ma al momento non interessa restringere le possibilità di comunicazioni tra le reti: per impostare nuove regole c'è sempre tempo DOPO che la rete funziona!nemo ha scritto: REGOLE DI FORWARD
accetto quello che proviene dalla LAN in direzione della rete interna o di quella esterna, accetto tutto quello che looppa sulla rete interna tranne i pacchetti che richiedono connessioni TCP, accetto (per ora senza restrizioni) tutto quello che viene inviato dalla rete interna e da quella esterna.Codice: Seleziona tutto
iptables -A FORWARD -i $INT_RETE_INTERNA -p all -s $LANIN -j ACCEPT iptables -A FORWARD -i $INT_RETE_ESTERNA -p all -s $LANIN -j ACCEPT iptables -A FORWARD -s $LANIN -d 0/0 -j ACCEPT iptables -A FORWARD -s 0/0 -d $LANIN -p tcp --syn -j DROP iptables -A FORWARD -s 0/0 -d $LANIN -j ACCEPT iptables -A FORWARD -o $INT_RETE_INTERNA -j ACCEPT iptables -A FORWARD -o $INT_RETE_ESTERNA -j ACCEPT
Però adesso NON funziona!
Chi mi dà una mano?
:grazie: