[PLUTO-security] VNC problems

Mirko Crescenzo mirko.crescenzo a gmail.com
Gio 30 Giu 2005 13:08:02 CEST


Ciao,
i web server con VNC server sono macchine Microsoft (W2K server)
cosiccome tutti gli host con cui ci connettiamo.
L'unica macchina linux è il FW che mi droppa la connessione.

queste le parti del file di conf con le grant sulle porte 80, 5800, 5900.

-A FORWARD -i eth0 -o eth1 -j LANINET
-A FORWARD -i eth1 -o eth0 -j INETLAN
-A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5900 -j ACCEPT
-A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5800 -j ACCEPT
-A INETLAN -p tcp -m tcp -d 10.0.0.0/255.255.255.0 --sport 80 -j ACCEPT
-A LANINET -p tcp -s 10.0.0.2 --sport 80 -j ACCEPT
-A LANINET -p tcp -s 10.0.0.2 --sport 5900 -j ACCEPT
-A LANINET -p tcp -s 10.0.0.2 --sport 5800 -j ACCEPT
-A LANINET -p tcp -m tcp --dport 80 -j ACCEPT

questo il nat:

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -d 192.168.0.5 -j DNAT  --to-destination 10.0.0.2
# Modifica da 10.0.0.2 a 192.168.0.5
-A POSTROUTING -o eth1 -s 10.0.0.2 -j SNAT  --to-source 192.168.0.5
-A POSTROUTING -s 192.168.0.5 -o eth0 -j SNAT  --to-source 10.0.0.2
# Mascheramento dei pacchetti che sono destinati o partono dalla LAN (IP-DHCP)
A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j MASQUERADE -p all
COMMIT

Manca qualcosa?
Non riesco propio a capire......

Grazie mille,
Mirko

On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> Ciao,
> il client dal quale stai provando ad accedere in vnc alla macchina che hai citato, è un client vnc linux o windows ? che messaggi di errore hai ? il comando:
> 
> #ps -ax|grep vnc
> 
> cosa ti restituisce ??
> 
>        Salvatore.
> 
> ----- Original Message -----
> From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> To: <pluto-security a lists.pluto.it>
> Sent: Thursday, June 30, 2005 12:41 PM
> Subject: [PLUTO-security] VNC problems
> 
> 
> Ciao a tutti,
> ho installato una mandrake 10.2 ed ho configurato per la prima volta
> il firewall con iptables.
> L'architettura di rete consta di una lan interna (10.0.0.0/24)
> agganciata al FW  (10.0.0.253) che a sua volta è collegato al router
> fornitoci dal provider sulla rete 192.168.0.0/28. Il router ha
> interfaccia interna 192.168.0.3 e il FW ha l'interfaccia esterna
> 192.168.0.4.
> 
> 2 web server interni alla LAN (10.0.0.5 e 10.0.0.6) vengono nattati
> sulla rete 192.168.0.0/28 con indirizzo 192.168.0.5 e 192.168.0.6.
> A loro volta vengono nattati dal router su 2 indirizzi pubblici.
> 
> Problema:
> 
> Riesco tranquillamente ad accedervi sulla porta 80, ma se tento di
> accedervi via VNC sulle porte 5800 e 5900 non riesco (eppure il
> setting sul FW per le porte 5800 e 5900 l'ho fatto identico all'80).
> 
> Le porte sono quelle sicuramente avendo provato un telnet
> sull'indirizzo interno dei web server (es 10.0.0.5) sulle porte VNC
> (telnet 10.0.0.5 5900)
> senza problemi.
> 
> Avete qualche idea?
> 
> Grazie mille,
> Mirko
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
> ---
> [This E-mail scanned for viruses by Declude Virus]
> 
> 
> ---
> [This E-mail scanned for viruses by Declude Virus]
> 
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
>


Maggiori informazioni sulla lista pluto-security