problema iptables

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

problema iptables

Messaggio da tgmx »

Ciao Ragazzi,
in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:

Codice: Seleziona tutto

#!/bin/sh
lan='192.168.1.0/24'
lan1='192.168.0.0/24'
lan2='192.168.3.0/24'

wan='85.45.9X.XXX'

# +----------------------------------------------------+ #
# caricamento moduli per il mascheramento
# +----------------------------------------------------+ #
        echo '1'> /proc/sys/net/ipv4/ip_forward
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
# +----------------------------------------------------+ #
# reset iptables
# +----------------------------------------------------+ #
        iptables -t nat -F
        iptables -t mangle -F
        iptables -t filter -F
# +----------------------------------------------------+ #
# set policies
# +----------------------------------------------------+ #
        iptables -P INPUT DROP
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD DROP
# +----------------------------------------------------+ #
# Accetta tutto in INPUT dall'interfaccia locale
# +----------------------------------------------------+ #
        iptables -A INPUT -i lo -j ACCEPT
# +----------------------------------------------------+ #
# abilitazione porta SMTP per mailserver
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp --sport smtp -j ACCEPT
         iptables -A INPUT -p tcp --dport smtp -j ACCEPT
         iptables -A INPUT -p tcp --sport pop3 -j ACCEPT
         iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
# +----------------------------------------------------+ #
#  Spoofed packets. Pacchetti esterni che non devono entrare
# +----------------------------------------------------+ #
        iptables -A FORWARD -i eth0 -s 255.255.255.255/32 -j DROP
        iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
        iptables -A FORWARD -i eth0 -s 172.16.0.0/16 -j DROP
# +----------------------------------------------------+ #
# Redirect al cache SQUID e abilitazioni per il Web e DNS
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p udp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
# +----------------------------------------------------+ #
#-- abilitazione per servizio
# +----------------------------------------------------+ #
        iptables -A FORWARD ! -i eth0  -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport www -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport https -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p udp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport smtp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport pop-3 -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport ftp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport rsync -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport nntp -j ACCEPT
        iptables -A FORWARD -i eth0 -p tcp --sport ftp-data --dport 1024: -j ACCEPT
# -----------------------------------------------------+ #
# allow return packets from connection we initiated
# +----------------------------------------------------+ #
        iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# +----------------------------------------------------+ #
#-- range macchine interne disabilitate
# +----------------------------------------------------+ #
        iptables -A INPUT -s 172.16.0.0/16 -j DROP
        iptables -A INPUT -s 127.0.0.0/8 -j DROP
        iptables -A INPUT -s 255.255.255.255/32 -j DROP
# +----------------------------------------------------+ #
# smtp auth connections for fast handshake
# +----------------------------------------------------+ #
        iptables -A FORWARD -p tcp --dport 113 -j REJECT
# +----------------------------------------------------+ #
# allow certain classes ICMP
# +----------------------------------------------------+ #
        iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 3 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
# +----------------------------------------------------+ #
# Politiche finali
# +----------------------------------------------------+ #
        iptables -A INPUT -i eth1 -j ACCEPT
        iptables -A INPUT -i eth2 -j ACCEPT
        iptables -A INPUT -i eth3 -j ACCEPT
considerate che il server non fa più da gateway dato che si va su internet tramite un secondo server, questo serve solo per la posta.
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).

Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?
Top
sbabaro
Packager
Packager
Messaggi: 388
Iscritto il: ven 9 set 2005, 0:00
Slackware: slack 12.1
Kernel: 2.6.26 ricompilato
Desktop: gslacky

Re: problema iptables

Messaggio da sbabaro »

non dipende da iptables, in quanto accetti tutto in input e non droppi nulla
prova a fare una connessione con il telnet alla porta smtp per verificare se raggiungi la porta oppure no
è un punto di partenza
Top
Rispondi

Torna a “Sicurezza”