in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:
Codice: Seleziona tutto
#!/bin/sh
lan='192.168.1.0/24'
lan1='192.168.0.0/24'
lan2='192.168.3.0/24'
wan='85.45.9X.XXX'
# +----------------------------------------------------+ #
# caricamento moduli per il mascheramento
# +----------------------------------------------------+ #
echo '1'> /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# +----------------------------------------------------+ #
# reset iptables
# +----------------------------------------------------+ #
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
# +----------------------------------------------------+ #
# set policies
# +----------------------------------------------------+ #
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# +----------------------------------------------------+ #
# Accetta tutto in INPUT dall'interfaccia locale
# +----------------------------------------------------+ #
iptables -A INPUT -i lo -j ACCEPT
# +----------------------------------------------------+ #
# abilitazione porta SMTP per mailserver
# +----------------------------------------------------+ #
iptables -A INPUT -p tcp --sport smtp -j ACCEPT
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
iptables -A INPUT -p tcp --sport pop3 -j ACCEPT
iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
# +----------------------------------------------------+ #
# Spoofed packets. Pacchetti esterni che non devono entrare
# +----------------------------------------------------+ #
iptables -A FORWARD -i eth0 -s 255.255.255.255/32 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/16 -j DROP
# +----------------------------------------------------+ #
# Redirect al cache SQUID e abilitazioni per il Web e DNS
# +----------------------------------------------------+ #
iptables -A INPUT -p tcp -s 0/0 --sport domain -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport domain -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
# +----------------------------------------------------+ #
#-- abilitazione per servizio
# +----------------------------------------------------+ #
iptables -A FORWARD ! -i eth0 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport www -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport https -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport domain -j ACCEPT
iptables -A FORWARD ! -i eth0 -p udp --dport domain -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport smtp -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport pop-3 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport ftp -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport rsync -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport nntp -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport ftp-data --dport 1024: -j ACCEPT
# -----------------------------------------------------+ #
# allow return packets from connection we initiated
# +----------------------------------------------------+ #
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# +----------------------------------------------------+ #
#-- range macchine interne disabilitate
# +----------------------------------------------------+ #
iptables -A INPUT -s 172.16.0.0/16 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 255.255.255.255/32 -j DROP
# +----------------------------------------------------+ #
# smtp auth connections for fast handshake
# +----------------------------------------------------+ #
iptables -A FORWARD -p tcp --dport 113 -j REJECT
# +----------------------------------------------------+ #
# allow certain classes ICMP
# +----------------------------------------------------+ #
iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 3 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
# +----------------------------------------------------+ #
# Politiche finali
# +----------------------------------------------------+ #
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A INPUT -i eth3 -j ACCEPT
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).
Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?