[PLUTO-security] VNC problems
Mirko Crescenzo
mirko.crescenzo a gmail.com
Gio 30 Giu 2005 14:22:30 CEST
Ciao Salvatore,
ho provato ad inserire la 5901 ma nulla da fare......non è che devo
impostare un nat sulla catena di PREROUTING e POSTROUTING?.....
Quello che mi domando.....se riesco sull'80...com'è possibile che su
di un'altra porta mi droppa?
On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> Ciao,
> ..ma tu hai la necessità di accedere a X:0 ?? non è che vnc viene eseguito su X:1 e quindi la porta usata è 5901 ??
>
> Salvatore.
>
> ----- Original Message -----
> From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
> Sent: Thursday, June 30, 2005 1:08 PM
> Subject: Re: [PLUTO-security] VNC problems
>
>
> Ciao,
> i web server con VNC server sono macchine Microsoft (W2K server)
> cosiccome tutti gli host con cui ci connettiamo.
> L'unica macchina linux è il FW che mi droppa la connessione.
>
> queste le parti del file di conf con le grant sulle porte 80, 5800, 5900.
>
> -A FORWARD -i eth0 -o eth1 -j LANINET
> -A FORWARD -i eth1 -o eth0 -j INETLAN
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5900 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5800 -j ACCEPT
> -A INETLAN -p tcp -m tcp -d 10.0.0.0/255.255.255.0 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5900 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5800 -j ACCEPT
> -A LANINET -p tcp -m tcp --dport 80 -j ACCEPT
>
> questo il nat:
>
> *nat
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A PREROUTING -i eth1 -d 192.168.0.5 -j DNAT --to-destination 10.0.0.2
> # Modifica da 10.0.0.2 a 192.168.0.5
> -A POSTROUTING -o eth1 -s 10.0.0.2 -j SNAT --to-source 192.168.0.5
> -A POSTROUTING -s 192.168.0.5 -o eth0 -j SNAT --to-source 10.0.0.2
> # Mascheramento dei pacchetti che sono destinati o partono dalla LAN (IP-DHCP)
> A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j MASQUERADE -p all
> COMMIT
>
> Manca qualcosa?
> Non riesco propio a capire......
>
> Grazie mille,
> Mirko
>
> On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> > Ciao,
> > il client dal quale stai provando ad accedere in vnc alla macchina che hai citato, è un client vnc linux o windows ? che messaggi di errore hai ? il comando:
> >
> > #ps -ax|grep vnc
> >
> > cosa ti restituisce ??
> >
> > Salvatore.
> >
> > ----- Original Message -----
> > From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> > To: <pluto-security a lists.pluto.it>
> > Sent: Thursday, June 30, 2005 12:41 PM
> > Subject: [PLUTO-security] VNC problems
> >
> >
> > Ciao a tutti,
> > ho installato una mandrake 10.2 ed ho configurato per la prima volta
> > il firewall con iptables.
> > L'architettura di rete consta di una lan interna (10.0.0.0/24)
> > agganciata al FW (10.0.0.253) che a sua volta è collegato al router
> > fornitoci dal provider sulla rete 192.168.0.0/28. Il router ha
> > interfaccia interna 192.168.0.3 e il FW ha l'interfaccia esterna
> > 192.168.0.4.
> >
> > 2 web server interni alla LAN (10.0.0.5 e 10.0.0.6) vengono nattati
> > sulla rete 192.168.0.0/28 con indirizzo 192.168.0.5 e 192.168.0.6.
> > A loro volta vengono nattati dal router su 2 indirizzi pubblici.
> >
> > Problema:
> >
> > Riesco tranquillamente ad accedervi sulla porta 80, ma se tento di
> > accedervi via VNC sulle porte 5800 e 5900 non riesco (eppure il
> > setting sul FW per le porte 5800 e 5900 l'ho fatto identico all'80).
> >
> > Le porte sono quelle sicuramente avendo provato un telnet
> > sull'indirizzo interno dei web server (es 10.0.0.5) sulle porte VNC
> > (telnet 10.0.0.5 5900)
> > senza problemi.
> >
> > Avete qualche idea?
> >
> > Grazie mille,
> > Mirko
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> >
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> >
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
> ---
> [This E-mail scanned for viruses by Declude Virus]
>
>
> ---
> [This E-mail scanned for viruses by Declude Virus]
>
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
>
Maggiori informazioni sulla lista
pluto-security