[PLUTO-help] problema gateway

Lun 24 Gen 2005 15:28:24 CET

Uhm vediamo se ho capito (perdona gli errori ma ho dormito TROPPO poco
:-):

1) DNS e host utilizzano connessioni UDP sulla porta 53. Non vedo
l'abilitazione al traffico UDP nel tuo script
2) iptables -F fa un flush delle regole. ma se le policy sono su DROP,
di fatto chiudi i già piccoli punti di passaggio per i dati. Oltre a
iptables -F devi dare iptables [-t filter] -P [INPUT|FORWARD|OUTPUT]
ACCEPT
3) mancano le regole di INPUT e OUTPUT da e verso il firewall

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
[iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT];
questa c'è già

4) I tuoi utenti non navigano a) perchè non trovano il DNS b) vedi punto
3

consiglio:
1) man iptables - detto senza cattiveria, sia chiaro: leggere a fondo,
prima di prendere confidenza ne passa di tempo
2) tail -f /var/log/messages|kernel per vedere in diretta quello che il
firewall ti blocca (devi ovviamente abilitare il logging)

Ciao

On Sat, 2005-01-22 at 22:05, eWeR wrote:
> dimenticavo di dire che le prove di andare sul web e altro dal gateway sono 
> state fatte senza le regole di "droppare" tutto sulle catene di output e 
> input :)
> comunque i dns dovrebbero andare lo stesso...
> 
> ----- Original Message ----- 
> From: "eWeR" <kxwo a libero.it>
> To: "Supporto tecnico del PLUTO" <pluto-help a lists.pluto.it>
> Sent: Saturday, January 22, 2005 9:55 PM
> Subject: [PLUTO-help] problema gateway
> 
> 
> > spiego con un esempio che faccio prima:
> >
> > root a prodigy:~# host www.google.it
> > www.google.it is an alias for www.google.com.
> > www.google.com is an alias for www.google.akadns.net.
> > www.google.akadns.net has address 66.102.11.99
> > www.google.akadns.net has address 66.102.11.104
> >
> > root a prodigy:~# cat /etc/rc.d/rc.firewall
> > iptables="/usr/sbin/iptables"
> > lanside=eth0
> > iside=ippp0
> > $iptables -F INPUT
> > $iptables -F OUTPUT
> > $iptables -F FORWARD
> > $iptables -P INPUT DROP
> > $iptables -P OUTPUT DROP
> > $iptables -P FORWARD DROP
> > $iptables -t nat -A POSTROUTING -o $iside -j MASQUERADE
> > $iptables -A FORWARD -i $lanside -o $iside -j ACCEPT
> > $iptables -A FORWARD -i $iside -o $lanside -m state --state 
> > ESTABLISHED,RELATED -j ACCEPT
> > $iptables -A INPUT -p tcp -i $lanside --dport 22 -j ACCEPT
> > $iptables -A OUTPUT -p tcp -o $lanside --sport 22 -j ACCEPT
> > echo "firewall ok"
> >
> > root a prodigy:~# cat /proc/sys/net/ipv4/ip_forward
> > 1
> >
> > root a prodigy:~# /etc/rc.d/rc.firewall
> > firewall ok
> >
> > root a prodigy:~# host www.google.it
> > ;; connection timed out; no servers could be reached
> >
> > dopo che faccio partire il firewall sul gateway non si risolvono dns e non 
> > si riesce a navigare ne nient'altro... mentre da i pc in rete dietro il 
> > gateway tutto ok.
> > poi se do un iptables -F per riportare tutto a zero, il pc non si vede più 
> > in rete.. non lo raggiungo piu con ssh! (ho flushato tutto quindi 
> > dovrebbe!!) e i dns continuano a non andare!! *mistero*
> > cosa puo' essere?
> > grazie a tutti
> >    Francesco.
> > _______________________________________________
> > pluto-help mailing list
> > pluto-help a lists.pluto.it
> > Per gestire la propria iscrizione alla lista: 
> > http://lists.pluto.it/listinfo/pluto-help
> 
> _______________________________________________
> pluto-help mailing list
> pluto-help a lists.pluto.it
> Per gestire la propria iscrizione alla lista: 
> http://lists.pluto.it/listinfo/pluto-help
-- 
-----------------------------
Mariano Cunietti
System Administrator
Enter S.r.l.
Via  Stefanardo da Vimercate, 28
20128 - Milano - Italy
Tel.  +39 02 25514319
Fax   +39 02 25514303
mcunietti a enter.it
www.enter.it - www.enterpoint.it
-----------------------------
Gruppo Y2K - www.gruppoy2k.it