[PLUTO-security] VNC problems

Mirko Crescenzo mirko.crescenzo a gmail.com
Ven 1 Lug 2005 11:15:43 CEST


FYI

On 7/1/05, Mirko Crescenzo <mirko.crescenzo a gmail.com> wrote:
> Grazie Pietro,
> ecco le impostazioni:
> 
> # Generated by iptables-save v1.2.9 on Wed Jun  8 02:27:27 2005
> *mangle
> :PREROUTING ACCEPT [565:46513]
> :INPUT ACCEPT [1040:97581]
> :FORWARD ACCEPT [9:510]
> :OUTPUT ACCEPT [541:44743]
> :POSTROUTING ACCEPT [664:91386]
> COMMIT
> # Completed on Wed Jun  8 02:27:27 2005
> # Generated by iptables-save v1.2.9 on Wed Jun  8 02:27:27 2005
> *filter
> :FORWARD DROP [0:0]
> :INPUT DROP [0:0]
> :OUTPUT DROP [0:0]
> :INETLAN - [0:0]
> :LANINET - [0:0]
> -A INPUT -i eth1 -j DROP
> -A INPUT -i eth1 -p icmp -m icmp -j DROP
> -A INPUT ! -i eth1 -j ACCEPT
> -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
> -A INPUT -m state --state ESTABLISHED -j ACCEPT
> -A INPUT -m state --state RELATED -j ACCEPT
> -A INPUT -p icmp -m icmp --icmp-type 0 -j DROP
> -A INPUT -p icmp -m icmp --icmp-type 3 -j DROP
> -A INPUT -p icmp -m icmp --icmp-type 4 -j DROP
> -A INPUT -p icmp -m icmp --icmp-type 11 -j DROP
> -A INPUT -p icmp -m icmp --icmp-type 12 -j DROP
> -A INPUT -p tcp -s 10.0.0.0/255.255.255.0 --dport 22 -j ACCEPT
> -A INPUT -p tcp -m tcp -s 127.0.0.1 -j ACCEPT
> -A INPUT -p tcp --dport 20:21 -j ACCEPT
> -A INPUT -p gre -j ACCEPT
> -A INPUT -p tcp --dport 1723 -j ACCEPT
> -A INPUT -p tcp --dport 5900 -j ACCEPT
> -A INPUT -p tcp --dport 5800 -j ACCEPT
> -A INPUT -p tcp -i eth0  --sport 1024:65535 --dport 1024:65535 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
> # Accetta tutti i pacchetti provenienti dalla LAN (catena di INPUT)
> -A INPUT -s 10.0.0.0/255.255.255.0 -j ACCEPT
> # Se l interfaccia di ingresso è eth0 e l interfaccia di uscita è eth1
> -A FORWARD -i eth0 -o eth1 -j LANINET
> # Se l interfaccia di ingresso è eth1 e l interfaccia di uscita è eth0
> -A FORWARD -i eth1 -o eth0 -j INETLAN
> -A OUTPUT -p tcp -o eth1  --sport 1024:65535 --dport 1024:65535 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
> -A OUTPUT -d 10.0.0.0/255.255.255.0 -o eth0 -j ACCEPT
> -A OUTPUT -d 192.168.0.0/255.255.255.240 -o eth1 -j ACCEPT
> -A OUTPUT -p tcp -m tcp -s 127.0.0.1 -j ACCEPT
> -A INETLAN -p tcp -m iprange --dst-range 10.0.0.50-10.0.0.79 --sport
> 4400:5000 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.2 --dport 5900 -j ACCEPT
> -A INETLAN -p tcp --sport 20:21 -m iprange --dst-range
> 10.0.0.50-10.0.0.79 -j ACCEPT
> -A INETLAN -p tcp --sport 20:21 -m iprange --dst-range
> 10.0.0.80-10.0.0.190 -j ACCEPT
> -A INETLAN -p tcp -m state --state RELATED,ESTABLISHED -d 10.0.0.82 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.82 --sport 1024:65535 --dport 1024:65535
> -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5900 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5800 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.2 --sport 80 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.2 --sport 5900 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.2 --sport 5800 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.101 -p tcp -m tcp --dport 80 -j ACCEPT
> -A INETLAN -p tcp -m tcp -d 10.0.0.101 --dport 5900 -j ACCEPT
> -A INETLAN -p tcp --sport 53 -j ACCEPT
> -A INETLAN -p udp --sport 53 -j ACCEPT
> -A INETLAN -p tcp --sport 25 -j ACCEPT
> -A INETLAN -p udp --sport 25 -j ACCEPT
> -A INETLAN -p tcp --sport 110 -j ACCEPT
> -A INETLAN -p tcp --sport 443 -j ACCEPT
> -A INETLAN -p tcp --sport 1433 -j ACCEPT
> -A INETLAN -p tcp --sport 1434 -j ACCEPT
> -A INETLAN -p udp --sport 1434 -j ACCEPT
> -A INETLAN -p tcp --dport 1024:65535 --sport 3389 -j ACCEPT
> -A INETLAN -p tcp -m tcp -d 10.0.0.0/255.255.255.0 --sport 80 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 22 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 137 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 137 -j ACCEPT
> -A INETLAN -p udp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 137 -j ACCEPT
> -A INETLAN -p tcp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 138 -j ACCEPT
> -A INETLAN -p udp -d 10.0.0.0/255.255.255.0 --dport 1024:65535 --sport
> 138 -j ACCEPT
> -A INETLAN -j DROP
> -A LANINET -p tcp -m iprange --src-range 10.0.0.50-10.0.0.79 --dport
> 4400:5000 -j ACCEPT
> -A LANINET -p tcp --sport 1723 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 53 -j ACCEPT
> -A LANINET -p udp -s 10.0.0.0/255.255.255.0 --dport 53 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.101 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.101 --sport 5900 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.101 --sport 5800 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5900 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5800 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 20:21 -j ACCEPT
> -A LANINET -p tcp -d 10.0.0.82 --sport 1024:65535 --dport 1024:65535
> -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --sport 1024:65535 --dport
> 22 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --sport 1024:65535 --dport
> 137 -j ACCEPT
> -A LANINET -p udp -s 10.0.0.0/255.255.255.0 --sport 1024:65535 --dport
> 137 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --sport 1024:65535 --dport
> 138 -j ACCEPT
> -A LANINET -p udp -s 10.0.0.0/255.255.255.0 --sport 1024:65535 --dport
> 138 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 3700:5000 -j ACCEPT
> -A LANINET -p udp -s 10.0.0.0/255.255.255.0 --dport 3700:5000 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 25 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 110 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 443 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 1433 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 1434 -j ACCEPT
> -A LANINET -p udp -s 10.0.0.0/255.255.255.0 --dport 1434 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.0/255.255.255.0 --dport 3389 -j ACCEPT
> # Permette la chiamata della LAN ad un WWW esterno
> -A LANINET -p tcp -m tcp --dport 80 -j ACCEPT
> -A LANINET -j DROP
> COMMIT
> # Completed on Wed Jun  8 02:27:27 2005
> # Generated by iptables-save v1.2.9 on Wed Jun  8 02:27:27 2005
> *nat
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A PREROUTING -p tcp -i eth1 -d 192.168.0.5 --dport 5900 -j DNAT
> --to-destination 10.0.0.2
> -A PREROUTING -i eth1 -d 192.168.0.5 -j DNAT  --to-destination 10.0.0.2
> -A PREROUTING -i eth1 -d 192.168.0.6 -j DNAT  --to-destination 10.0.0.101
> # Modifica da 10.0.0.2 a 192.168.0.5
> -A POSTROUTING -o eth1 -s 10.0.0.2 -j SNAT  --to-source 192.168.0.5
> -A POSTROUTING -s 192.168.0.5 -o eth0 -j SNAT  --to-source 10.0.0.2
> # Modifica da 10.0.0.101 a 192.168.0.6
> -A POSTROUTING -o eth1 -s 10.0.0.101 -j SNAT  --to-source 192.168.0.6
> -A POSTROUTING -s 192.168.0.6 -o eth0 -j SNAT  --to-source 10.0.0.101
> #-A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j MASQUERADE -p all
> COMMIT
> 
> 
> Grazie in anticipo,
> Mirko
> 
> 
> On 6/30/05, Pietro Leone <leone a diff.org> wrote:
> > Quoting Mirko Crescenzo <mirko.crescenzo a gmail.com>:
> >
> > > Ciao a tutti,
> > > ho installato una mandrake 10.2 ed ho configurato per la prima volta
> > > il firewall con iptables.
> > > L'architettura di rete consta di una lan interna (10.0.0.0/24)
> > > agganciata al FW  (10.0.0.253) che a sua volta è collegato al router
> > > fornitoci dal provider sulla rete 192.168.0.0/28. Il router ha
> > > interfaccia interna 192.168.0.3 e il FW ha l'interfaccia esterna
> > > 192.168.0.4.
> > >
> > > 2 web server interni alla LAN (10.0.0.5 e 10.0.0.6) vengono nattati
> > > sulla rete 192.168.0.0/28 con indirizzo 192.168.0.5 e 192.168.0.6.
> > > A loro volta vengono nattati dal router su 2 indirizzi pubblici.
> > >
> > > Problema:
> > >
> > > Riesco tranquillamente ad accedervi sulla porta 80, ma se tento di
> > > accedervi via VNC sulle porte 5800 e 5900 non riesco (eppure il
> > > setting sul FW per le porte 5800 e 5900 l'ho fatto identico all'80).
> > >
> > > Le porte sono quelle sicuramente avendo provato un telnet
> > > sull'indirizzo interno dei web server (es 10.0.0.5) sulle porte VNC
> > > (telnet 10.0.0.5 5900)
> > > senza problemi.
> > >
> > > Avete qualche idea?
> >
> > Prova a mandare il file di configurazione di iptables, cosi` diamo un'occhiata.
> >
> > > Grazie mille,
> > > Mirko
> >
> > Ciao, Pietro.
> > --
> > I will build myself a copper tower
> > With four ways out and no way in
> > But mine the glory, mine the power
> > (So I chose Amiga and GNU/Linux)
> >
>


Maggiori informazioni sulla lista pluto-security