[PLUTO-security] VNC problems

Salvatore Basso sasab a pixteam.com
Gio 30 Giu 2005 14:36:51 CEST


..partiamo prima dalla porta in uso da vnc, se fai:

#ps -ax|grep vnc

cosa ti retituisce ??
per quanto riguarda la configurazione del fw, le rules che di solito uso per accedere dall'esterno ad una macchina nattata su un ip pubblico, sono:

iptables -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP --dport 5900 -j DNAT --to-destination $DMZHTTPIP
 
iptables -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d $DMZHHTPIP --dport 5900 -j allowed

.. dove INET_IFACE è l'interfaccia esterna, HTTP_IP è l'indirizzo IP Pubblico nattato con l'indirizzo ip privato che è indicato nella variabile DMZHTTPIP

.. quando provi ad accedere usando vnc controlla i log del fw per vedere se viene droppato qualche pacchetto.

        Salvatore.

----- Original Message ----- 
From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Thursday, June 30, 2005 2:22 PM
Subject: Re: [PLUTO-security] VNC problems


Ciao Salvatore,
ho provato ad inserire la 5901 ma nulla da fare......non è che devo
impostare un nat sulla catena di PREROUTING e POSTROUTING?.....
Quello che mi domando.....se riesco sull'80...com'è possibile che su
di un'altra porta mi droppa?



On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> Ciao,
> ..ma tu hai la necessità di accedere a X:0 ?? non è che vnc viene eseguito su X:1 e quindi la porta usata è 5901 ??
> 
>        Salvatore.
> 
> ----- Original Message -----
> From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
> Sent: Thursday, June 30, 2005 1:08 PM
> Subject: Re: [PLUTO-security] VNC problems
> 
> 
> Ciao,
> i web server con VNC server sono macchine Microsoft (W2K server)
> cosiccome tutti gli host con cui ci connettiamo.
> L'unica macchina linux è il FW che mi droppa la connessione.
> 
> queste le parti del file di conf con le grant sulle porte 80, 5800, 5900.
> 
> -A FORWARD -i eth0 -o eth1 -j LANINET
> -A FORWARD -i eth1 -o eth0 -j INETLAN
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5900 -j ACCEPT
> -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5800 -j ACCEPT
> -A INETLAN -p tcp -m tcp -d 10.0.0.0/255.255.255.0 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 80 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5900 -j ACCEPT
> -A LANINET -p tcp -s 10.0.0.2 --sport 5800 -j ACCEPT
> -A LANINET -p tcp -m tcp --dport 80 -j ACCEPT
> 
> questo il nat:
> 
> *nat
> :PREROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A PREROUTING -i eth1 -d 192.168.0.5 -j DNAT  --to-destination 10.0.0.2
> # Modifica da 10.0.0.2 a 192.168.0.5
> -A POSTROUTING -o eth1 -s 10.0.0.2 -j SNAT  --to-source 192.168.0.5
> -A POSTROUTING -s 192.168.0.5 -o eth0 -j SNAT  --to-source 10.0.0.2
> # Mascheramento dei pacchetti che sono destinati o partono dalla LAN (IP-DHCP)
> A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j MASQUERADE -p all
> COMMIT
> 
> Manca qualcosa?
> Non riesco propio a capire......
> 
> Grazie mille,
> Mirko
> 
> On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> > Ciao,
> > il client dal quale stai provando ad accedere in vnc alla macchina che hai citato, è un client vnc linux o windows ? che messaggi di errore hai ? il comando:
> >
> > #ps -ax|grep vnc
> >
> > cosa ti restituisce ??
> >
> >        Salvatore.
> >
> > ----- Original Message -----
> > From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> > To: <pluto-security a lists.pluto.it>
> > Sent: Thursday, June 30, 2005 12:41 PM
> > Subject: [PLUTO-security] VNC problems
> >
> >
> > Ciao a tutti,
> > ho installato una mandrake 10.2 ed ho configurato per la prima volta
> > il firewall con iptables.
> > L'architettura di rete consta di una lan interna (10.0.0.0/24)
> > agganciata al FW  (10.0.0.253) che a sua volta è collegato al router
> > fornitoci dal provider sulla rete 192.168.0.0/28. Il router ha
> > interfaccia interna 192.168.0.3 e il FW ha l'interfaccia esterna
> > 192.168.0.4.
> >
> > 2 web server interni alla LAN (10.0.0.5 e 10.0.0.6) vengono nattati
> > sulla rete 192.168.0.0/28 con indirizzo 192.168.0.5 e 192.168.0.6.
> > A loro volta vengono nattati dal router su 2 indirizzi pubblici.
> >
> > Problema:
> >
> > Riesco tranquillamente ad accedervi sulla porta 80, ma se tento di
> > accedervi via VNC sulle porte 5800 e 5900 non riesco (eppure il
> > setting sul FW per le porte 5800 e 5900 l'ho fatto identico all'80).
> >
> > Le porte sono quelle sicuramente avendo provato un telnet
> > sull'indirizzo interno dei web server (es 10.0.0.5) sulle porte VNC
> > (telnet 10.0.0.5 5900)
> > senza problemi.
> >
> > Avete qualche idea?
> >
> > Grazie mille,
> > Mirko
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> >
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> >
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
> ---
> [This E-mail scanned for viruses by Declude Virus]
> 
> 
> ---
> [This E-mail scanned for viruses by Declude Virus]
> 
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
>
_______________________________________________
pluto-security mailing list
pluto-security a lists.pluto.it
Per gestire la propria iscrizione alla lista: 
http://lists.pluto.it/listinfo/pluto-security
---
[This E-mail scanned for viruses by Declude Virus]
---
[This E-mail scanned for viruses by Declude Virus]



Maggiori informazioni sulla lista pluto-security