problema iptables
Inviato: lun 26 mag 2008, 18:18
Ciao Ragazzi,
in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:
considerate che il server non fa più da gateway dato che si va su internet tramite un secondo server, questo serve solo per la posta.
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).
Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?
in azienda abbiamo un vecchio server (credo debian) in cui gira il server di posta. Questo server è stato configurato da prima che arrivassi io ed ora devo apportare qualche modifica alla rete. Senza dilungarmi troppo la questione è questa, il server ha le seguenti regole di firewall:
Codice: Seleziona tutto
#!/bin/sh
lan='192.168.1.0/24'
lan1='192.168.0.0/24'
lan2='192.168.3.0/24'
wan='85.45.9X.XXX'
# +----------------------------------------------------+ #
# caricamento moduli per il mascheramento
# +----------------------------------------------------+ #
echo '1'> /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# +----------------------------------------------------+ #
# reset iptables
# +----------------------------------------------------+ #
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
# +----------------------------------------------------+ #
# set policies
# +----------------------------------------------------+ #
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# +----------------------------------------------------+ #
# Accetta tutto in INPUT dall'interfaccia locale
# +----------------------------------------------------+ #
iptables -A INPUT -i lo -j ACCEPT
# +----------------------------------------------------+ #
# abilitazione porta SMTP per mailserver
# +----------------------------------------------------+ #
iptables -A INPUT -p tcp --sport smtp -j ACCEPT
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
iptables -A INPUT -p tcp --sport pop3 -j ACCEPT
iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
# +----------------------------------------------------+ #
# Spoofed packets. Pacchetti esterni che non devono entrare
# +----------------------------------------------------+ #
iptables -A FORWARD -i eth0 -s 255.255.255.255/32 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/16 -j DROP
# +----------------------------------------------------+ #
# Redirect al cache SQUID e abilitazioni per il Web e DNS
# +----------------------------------------------------+ #
iptables -A INPUT -p tcp -s 0/0 --sport domain -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport domain -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
# +----------------------------------------------------+ #
#-- abilitazione per servizio
# +----------------------------------------------------+ #
iptables -A FORWARD ! -i eth0 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport www -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport https -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport domain -j ACCEPT
iptables -A FORWARD ! -i eth0 -p udp --dport domain -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport smtp -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport pop-3 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport ftp -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport rsync -j ACCEPT
iptables -A FORWARD ! -i eth0 -p tcp --dport nntp -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport ftp-data --dport 1024: -j ACCEPT
# -----------------------------------------------------+ #
# allow return packets from connection we initiated
# +----------------------------------------------------+ #
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# +----------------------------------------------------+ #
#-- range macchine interne disabilitate
# +----------------------------------------------------+ #
iptables -A INPUT -s 172.16.0.0/16 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 255.255.255.255/32 -j DROP
# +----------------------------------------------------+ #
# smtp auth connections for fast handshake
# +----------------------------------------------------+ #
iptables -A FORWARD -p tcp --dport 113 -j REJECT
# +----------------------------------------------------+ #
# allow certain classes ICMP
# +----------------------------------------------------+ #
iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 3 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
# +----------------------------------------------------+ #
# Politiche finali
# +----------------------------------------------------+ #
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A INPUT -i eth3 -j ACCEPT
Il server è attaccato alla lan tramite eth2 mentre eth0 ha l'ip pubblico (statico).
Ora, com'è possibile che io da casa (alice adsl) riesca a scaricare normalmente la posta aziendale mentre da una seconda adsl (libero aziende) non riesco?
Eppure non sembra che sulle regole ci siano filtri di questo tipo... dove sbaglio?