[PLUTO-security] VNC problems
Salvatore Basso
sasab a pixteam.com
Gio 30 Giu 2005 15:39:40 CEST
.. solitamente in /var/log/secure .. ma dipende dalla configurazione del fw !
Salvatore.
----- Original Message -----
From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
Sent: Thursday, June 30, 2005 2:55 PM
Subject: Re: [PLUTO-security] VNC problems
Grazie Salvatore,
purtroppo sono nuovo alla configurazione FW su linux, e le mie domande
sono propio base base...tipo:
- dove logga il FW?
:-)
Queste, come da tuo suggerimento, quello che ho inserito in base alla
mia struttura di rete (anche se ancora non funzica purtroppo):
-A FORWARD -i eth0 -o eth1 -j LANINET
-A FORWARD -i eth1 -o eth0 -j INETLAN
-A INETLAN -p tcp -d 10.0.0.2 --dport 5900 -j ACCEPT
-A INETLAN -p tcp -d 192.168.0.5 --dport 5900 -j ACCEPT
-A PREROUTING -p tcp -i eth1 -d 192.168.0.5 --dport 5900 -j DNAT
--to-destination 10.0.0.2
Il comando ps non mi restituisce nulla di attivo. Il VNC server non è sul FW.
Grazie
Mirko
On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> ..partiamo prima dalla porta in uso da vnc, se fai:
>
> #ps -ax|grep vnc
>
> cosa ti retituisce ??
> per quanto riguarda la configurazione del fw, le rules che di solito uso per accedere dall'esterno ad una macchina nattata su un ip pubblico, sono:
>
> iptables -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP --dport 5900 -j DNAT --to-destination $DMZHTTPIP
>
> iptables -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d $DMZHHTPIP --dport 5900 -j allowed
>
> .. dove INET_IFACE è l'interfaccia esterna, HTTP_IP è l'indirizzo IP Pubblico nattato con l'indirizzo ip privato che è indicato nella variabile DMZHTTPIP
>
> .. quando provi ad accedere usando vnc controlla i log del fw per vedere se viene droppato qualche pacchetto.
>
> Salvatore.
>
> ----- Original Message -----
> From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
> Sent: Thursday, June 30, 2005 2:22 PM
> Subject: Re: [PLUTO-security] VNC problems
>
>
> Ciao Salvatore,
> ho provato ad inserire la 5901 ma nulla da fare......non è che devo
> impostare un nat sulla catena di PREROUTING e POSTROUTING?.....
> Quello che mi domando.....se riesco sull'80...com'è possibile che su
> di un'altra porta mi droppa?
>
>
>
> On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> > Ciao,
> > ..ma tu hai la necessità di accedere a X:0 ?? non è che vnc viene eseguito su X:1 e quindi la porta usata è 5901 ??
> >
> > Salvatore.
> >
> > ----- Original Message -----
> > From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> > To: "Sicurezza in rete" <pluto-security a lists.pluto.it>
> > Sent: Thursday, June 30, 2005 1:08 PM
> > Subject: Re: [PLUTO-security] VNC problems
> >
> >
> > Ciao,
> > i web server con VNC server sono macchine Microsoft (W2K server)
> > cosiccome tutti gli host con cui ci connettiamo.
> > L'unica macchina linux è il FW che mi droppa la connessione.
> >
> > queste le parti del file di conf con le grant sulle porte 80, 5800, 5900.
> >
> > -A FORWARD -i eth0 -o eth1 -j LANINET
> > -A FORWARD -i eth1 -o eth0 -j INETLAN
> > -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j ACCEPT
> > -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5900 -j ACCEPT
> > -A INETLAN -i eth1 -o eth0 -d 10.0.0.2 -p tcp -m tcp --dport 5800 -j ACCEPT
> > -A INETLAN -p tcp -m tcp -d 10.0.0.0/255.255.255.0 --sport 80 -j ACCEPT
> > -A LANINET -p tcp -s 10.0.0.2 --sport 80 -j ACCEPT
> > -A LANINET -p tcp -s 10.0.0.2 --sport 5900 -j ACCEPT
> > -A LANINET -p tcp -s 10.0.0.2 --sport 5800 -j ACCEPT
> > -A LANINET -p tcp -m tcp --dport 80 -j ACCEPT
> >
> > questo il nat:
> >
> > *nat
> > :PREROUTING ACCEPT [0:0]
> > :OUTPUT ACCEPT [0:0]
> > :POSTROUTING ACCEPT [0:0]
> > -A PREROUTING -i eth1 -d 192.168.0.5 -j DNAT --to-destination 10.0.0.2
> > # Modifica da 10.0.0.2 a 192.168.0.5
> > -A POSTROUTING -o eth1 -s 10.0.0.2 -j SNAT --to-source 192.168.0.5
> > -A POSTROUTING -s 192.168.0.5 -o eth0 -j SNAT --to-source 10.0.0.2
> > # Mascheramento dei pacchetti che sono destinati o partono dalla LAN (IP-DHCP)
> > A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j MASQUERADE -p all
> > COMMIT
> >
> > Manca qualcosa?
> > Non riesco propio a capire......
> >
> > Grazie mille,
> > Mirko
> >
> > On 6/30/05, Salvatore Basso <sasab a pixteam.com> wrote:
> > > Ciao,
> > > il client dal quale stai provando ad accedere in vnc alla macchina che hai citato, è un client vnc linux o windows ? che messaggi di errore hai ? il comando:
> > >
> > > #ps -ax|grep vnc
> > >
> > > cosa ti restituisce ??
> > >
> > > Salvatore.
> > >
> > > ----- Original Message -----
> > > From: "Mirko Crescenzo" <mirko.crescenzo a gmail.com>
> > > To: <pluto-security a lists.pluto.it>
> > > Sent: Thursday, June 30, 2005 12:41 PM
> > > Subject: [PLUTO-security] VNC problems
> > >
> > >
> > > Ciao a tutti,
> > > ho installato una mandrake 10.2 ed ho configurato per la prima volta
> > > il firewall con iptables.
> > > L'architettura di rete consta di una lan interna (10.0.0.0/24)
> > > agganciata al FW (10.0.0.253) che a sua volta è collegato al router
> > > fornitoci dal provider sulla rete 192.168.0.0/28. Il router ha
> > > interfaccia interna 192.168.0.3 e il FW ha l'interfaccia esterna
> > > 192.168.0.4.
> > >
> > > 2 web server interni alla LAN (10.0.0.5 e 10.0.0.6) vengono nattati
> > > sulla rete 192.168.0.0/28 con indirizzo 192.168.0.5 e 192.168.0.6.
> > > A loro volta vengono nattati dal router su 2 indirizzi pubblici.
> > >
> > > Problema:
> > >
> > > Riesco tranquillamente ad accedervi sulla porta 80, ma se tento di
> > > accedervi via VNC sulle porte 5800 e 5900 non riesco (eppure il
> > > setting sul FW per le porte 5800 e 5900 l'ho fatto identico all'80).
> > >
> > > Le porte sono quelle sicuramente avendo provato un telnet
> > > sull'indirizzo interno dei web server (es 10.0.0.5) sulle porte VNC
> > > (telnet 10.0.0.5 5900)
> > > senza problemi.
> > >
> > > Avete qualche idea?
> > >
> > > Grazie mille,
> > > Mirko
> > > _______________________________________________
> > > pluto-security mailing list
> > > pluto-security a lists.pluto.it
> > > Per gestire la propria iscrizione alla lista:
> > > http://lists.pluto.it/listinfo/pluto-security
> > > ---
> > > [This E-mail scanned for viruses by Declude Virus]
> > >
> > >
> > > ---
> > > [This E-mail scanned for viruses by Declude Virus]
> > >
> > > _______________________________________________
> > > pluto-security mailing list
> > > pluto-security a lists.pluto.it
> > > Per gestire la propria iscrizione alla lista:
> > > http://lists.pluto.it/listinfo/pluto-security
> > >
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> >
> > ---
> > [This E-mail scanned for viruses by Declude Virus]
> >
> > _______________________________________________
> > pluto-security mailing list
> > pluto-security a lists.pluto.it
> > Per gestire la propria iscrizione alla lista:
> > http://lists.pluto.it/listinfo/pluto-security
> >
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
> ---
> [This E-mail scanned for viruses by Declude Virus]
> ---
> [This E-mail scanned for viruses by Declude Virus]
>
> _______________________________________________
> pluto-security mailing list
> pluto-security a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-security
>
_______________________________________________
pluto-security mailing list
pluto-security a lists.pluto.it
Per gestire la propria iscrizione alla lista:
http://lists.pluto.it/listinfo/pluto-security
---
[This E-mail scanned for viruses by Declude Virus]
---
[This E-mail scanned for viruses by Declude Virus]
Maggiori informazioni sulla lista
pluto-security