Repository 32bit  Forum
Repository 64bit  Wiki

iptables prerouting [RISOLTO]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables prerouting [RISOLTO]

Messaggioda kreen » sab apr 03, 2010 16:35

Ciao a tutti.
Ho un problema con iptables, del quale ho pressoché conoscenza nulla.

Devo accedere ad un server http su una rete (Es. 192.168.1.0 ) da un'altra rete (Es. 192.168.10.0 su wlan0).
In mezzo ho piazzato una vecchia macchina con due schede di rete.
Una wireless sulla rete da cui accedo (su wlan0) e una fissa che guarda al server (eth0).

dopo

Codice: Seleziona tutto
rc.ip_forward start


Ho impostato queste regole sul firewall:

Codice: Seleziona tutto

iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -A FORWARD -j LOG --log-level 7 --log-prefix "Pack: "
iptables  -A PREROUTING -t nat -p TCP  -i wlan0 --dport 80 -j DNAT --to 192.168.1.10:80
iptables -A FORWARD $text "VIDEO: TCP"  -p TCP -i wlan0 -o eth0 -d 192.168.1.10 \
        --dport 80  -j DROP



Purtroppo pero' non mi connetto con il browser.
Sono stato lasco per evitare meno problemi possibili, per poi andare piano piano a chiudere i buchi.

Grazie
Ultima modifica di kreen il dom apr 04, 2010 7:08, modificato 1 volta in totale.
Avatar utente
kreen
Linux 2.4
Linux 2.4
 
Messaggi: 228
Iscritto il: mer feb 01, 2006 18:32
Località: Verona
Slackware: 12.0
Kernel: 2.6.21.5-smp
Desktop: KDE

Re: iptables prerouting

Messaggioda sardylan » sab apr 03, 2010 23:25

Oltre alle regole di forward, ci vuole anche la regola di ritorno...
La butto un po' li... Non so se sia giusta... Ho un po' dimenticato iptables...
Codice: Seleziona tutto
/sbin/iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j DNAT --to 192.168.1.10:80
/sbin/iptables -t nat -A PREROUTING -i eth0 -d 192.168.10.x -m state --state ESTABLISHED,RELATED -j DNAT --to 192.168.10.x


A questo punto ti stai facendo un NATTING per per poter accedere alla rete 192.168.1.0/24 dalla rete 192.168.10.0/24, quindi io opterei per una roba del genere:
Codice: Seleziona tutto
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --from 192.168.1.X (X è la macchina che sta in mezzo alle due reti)
/sbin/iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT

che alla fine dovrebbero essere le stesse regole che girano dentro i routers che ti permettono di navigare su internet, con l'unica differenza che non usi il MASQUERADE, ma il SNAT (masquerade è per IP dinamici, SNAT per ip statici)
In questo modo aggiungi una route nelle macchine della 192.168.10.0/24 dicendoli che per la rete 192.168.1.0/24 deve usare il gateway presente all'indirizzo 192.168.10.X (dove X è sempre la macchina che sta in mezzo, ma stavolta lato wlan0)

Spero di essere stato chiaro, e di non aver fatto errori :)
Avatar utente
sardylan
Linux 2.6
Linux 2.6
 
Messaggi: 993
Iscritto il: mar apr 24, 2007 8:21
Località: Cagliari
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.5.5
Distribuzione: Debian - CLFS

Re: iptables prerouting

Messaggioda kreen » dom apr 04, 2010 7:08

Ciao Luca,
grazie veramente per la drittona. Infatti funziona. :thumbright:

L'opzione nel SNAT non è -from ma --to-source.

Buona Pasqua
Avatar utente
kreen
Linux 2.4
Linux 2.4
 
Messaggi: 228
Iscritto il: mer feb 01, 2006 18:32
Località: Verona
Slackware: 12.0
Kernel: 2.6.21.5-smp
Desktop: KDE

Re: iptables prerouting [RISOLTO]

Messaggioda sardylan » dom apr 04, 2010 19:20

Good :D :D
Avatar utente
sardylan
Linux 2.6
Linux 2.6
 
Messaggi: 993
Iscritto il: mar apr 24, 2007 8:21
Località: Cagliari
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.5.5
Distribuzione: Debian - CLFS


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti