Pagina 1 di 1

problema iptables

Inviato: lun 26 mag 2008, 18:18
da tgmx
Ciao Ragazzi,
in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:

Codice: Seleziona tutto

#!/bin/sh
lan='192.168.1.0/24'
lan1='192.168.0.0/24'
lan2='192.168.3.0/24'

wan='85.45.9X.XXX'

# +----------------------------------------------------+ #
# caricamento moduli per il mascheramento
# +----------------------------------------------------+ #
        echo '1'> /proc/sys/net/ipv4/ip_forward
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
# +----------------------------------------------------+ #
# reset iptables
# +----------------------------------------------------+ #
        iptables -t nat -F
        iptables -t mangle -F
        iptables -t filter -F
# +----------------------------------------------------+ #
# set policies
# +----------------------------------------------------+ #
        iptables -P INPUT DROP
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD DROP
# +----------------------------------------------------+ #
# Accetta tutto in INPUT dall'interfaccia locale
# +----------------------------------------------------+ #
        iptables -A INPUT -i lo -j ACCEPT
# +----------------------------------------------------+ #
# abilitazione porta SMTP per mailserver
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp --sport smtp -j ACCEPT
         iptables -A INPUT -p tcp --dport smtp -j ACCEPT
         iptables -A INPUT -p tcp --sport pop3 -j ACCEPT
         iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
# +----------------------------------------------------+ #
#  Spoofed packets. Pacchetti esterni che non devono entrare
# +----------------------------------------------------+ #
        iptables -A FORWARD -i eth0 -s 255.255.255.255/32 -j DROP
        iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
        iptables -A FORWARD -i eth0 -s 172.16.0.0/16 -j DROP
# +----------------------------------------------------+ #
# Redirect al cache SQUID e abilitazioni per il Web e DNS
# +----------------------------------------------------+ #
         iptables -A INPUT -p tcp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p udp -s 0/0 --sport domain -j ACCEPT
         iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
# +----------------------------------------------------+ #
#-- abilitazione per servizio
# +----------------------------------------------------+ #
        iptables -A FORWARD ! -i eth0  -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport www -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport https -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p udp --dport domain -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport smtp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport pop-3 -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport ftp -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport rsync -j ACCEPT
        iptables -A FORWARD ! -i eth0 -p tcp --dport nntp -j ACCEPT
        iptables -A FORWARD -i eth0 -p tcp --sport ftp-data --dport 1024: -j ACCEPT
# -----------------------------------------------------+ #
# allow return packets from connection we initiated
# +----------------------------------------------------+ #
        iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# +----------------------------------------------------+ #
#-- range macchine interne disabilitate
# +----------------------------------------------------+ #
        iptables -A INPUT -s 172.16.0.0/16 -j DROP
        iptables -A INPUT -s 127.0.0.0/8 -j DROP
        iptables -A INPUT -s 255.255.255.255/32 -j DROP
# +----------------------------------------------------+ #
# smtp auth connections for fast handshake
# +----------------------------------------------------+ #
        iptables -A FORWARD -p tcp --dport 113 -j REJECT
# +----------------------------------------------------+ #
# allow certain classes ICMP
# +----------------------------------------------------+ #
        iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 3 -j ACCEPT
        iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
# +----------------------------------------------------+ #
# Politiche finali
# +----------------------------------------------------+ #
        iptables -A INPUT -i eth1 -j ACCEPT
        iptables -A INPUT -i eth2 -j ACCEPT
        iptables -A INPUT -i eth3 -j ACCEPT
considerate che il server non fa più da gateway dato che si va su internet tramite un secondo server, questo serve solo per la posta.
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).

Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?

Re: problema iptables

Inviato: mer 25 giu 2008, 15:45
da sbabaro
non dipende da iptables, in quanto accetti tutto in input e non droppi nulla
prova a fare una connessione con il telnet alla porta smtp per verificare se raggiungi la porta oppure no
è un punto di partenza