Repository 32bit  Forum
Repository 64bit  Wiki

problema iptables

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

problema iptables

Messaggioda tgmx » lun mag 26, 2008 17:18

Ciao Ragazzi,
in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:
Codice: Seleziona tutto
#!/bin/sh
lan='192.168.1.0/24'
lan1='192.168.0.0/24'
lan2='192.168.3.0/24'

wan='85.45.9X.XXX'

# +----------------------------------------------------+ #
# caricamento moduli per il mascheramento
# +----------------------------------------------------+ #
        echo '1'> /proc/sys/net/ipv4/ip_forward
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
# +----------------------------------------------------+ #
# reset iptables
# +----------------------------------------------------+ #
        iptables -t nat -F
        iptables -t mangle -F
        iptables -t filter -F
# +----------------------------------------------------+ #
# set policies
# +----------------------------------------------------+ #
        iptables -P INPUT DROP
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD DROP
# +----------------------------------------------------+ #
# Accetta tutto in INPUT dall'interfaccia locale
# +----------------------------------------------------+ #
        iptables -A INPUT -i lo -j ACCEPT
# +----------------------------------------------------+ #
# abilitazione porta SMTP per mailserver
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp --sport smtp -j ACCEPT
         iptables -A INPUT -p tcp --dport smtp -j ACCEPT
         iptables -A INPUT -p tcp --sport pop3 -j ACCEPT
         iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
# +----------------------------------------------------+ #
#  Spoofed packets. Pacchetti esterni che non devono entrare
# +----------------------------------------------------+ #
        iptables -A FORWARD -i eth0 -s 255.255.255.255/32 -j DROP
        iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
        iptables -A FORWARD -i eth0 -s 172.16.0.0/16 -j DROP
# +----------------------------------------------------+ #
# Redirect al cache SQUID e abilitazioni per il Web e DNS
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p udp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
# +----------------------------------------------------+ #
#-- abilitazione per servizio
# +----------------------------------------------------+ #
        iptables -A FORWARD ! -i eth0  -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport www -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport https -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p udp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport smtp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport pop-3 -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport ftp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport rsync -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport nntp -j ACCEPT
        iptables -A FORWARD -i eth0 -p tcp --sport ftp-data --dport 1024: -j ACCEPT
# -----------------------------------------------------+ #
# allow return packets from connection we initiated
# +----------------------------------------------------+ #
        iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# +----------------------------------------------------+ #
#-- range macchine interne disabilitate
# +----------------------------------------------------+ #
        iptables -A INPUT -s 172.16.0.0/16 -j DROP
        iptables -A INPUT -s 127.0.0.0/8 -j DROP
        iptables -A INPUT -s 255.255.255.255/32 -j DROP
# +----------------------------------------------------+ #
# smtp auth connections for fast handshake
# +----------------------------------------------------+ #
        iptables -A FORWARD -p tcp --dport 113 -j REJECT
# +----------------------------------------------------+ #
# allow certain classes ICMP
# +----------------------------------------------------+ #
        iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 3 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
# +----------------------------------------------------+ #
# Politiche finali
# +----------------------------------------------------+ #
        iptables -A INPUT -i eth1 -j ACCEPT
        iptables -A INPUT -i eth2 -j ACCEPT
        iptables -A INPUT -i eth3 -j ACCEPT


considerate che il server non fa più da gateway dato che si va su internet tramite un secondo server, questo serve solo per la posta.
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).

Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1331
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: problema iptables

Messaggioda sbabaro » mer giu 25, 2008 14:45

non dipende da iptables, in quanto accetti tutto in input e non droppi nulla
prova a fare una connessione con il telnet alla porta smtp per verificare se raggiungi la porta oppure no
è un punto di partenza
sbabaro
Packager
Packager
 
Messaggi: 388
Iscritto il: gio set 08, 2005 23:00
Slackware: slack 12.1
Kernel: 2.6.26 ricompilato
Desktop: gslacky


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron