| Autore |
 Discussione  |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
 Inserito il - 24/03/2006 : 18:33:31
|
Prima di tutto descrivo un arrimo la rete, per capire meglio:
Router con accesso internet IP: 192.168.2.1
PC principale con Ubuntu 5.10 aggiornato, fornisce stampanti e stoccaggio su HD in remoto IP 192.168.2.116
Jen (192.168.1.103) e Carmela (192.168.2.109) devono poter usufruire di questi servizzi.
Il principale è collegato direttamente al router via cavetto RJ45 dritto, gli altri due sono in WiFi (parametrando il filtro IP mac sul router), il problema è il seguente:
a volte l'accesso viene consentito senza problemi (ma raramente..) il più sovente devo fermare IpTables (a mezzo firestarter) per poterli lasciar entrare, apparentemente l'accesso è consentito, ma perchè mi fa questo?
Inoltre ci sono voci strane (LOG....), non vorrei aver aperto (o chiuso) roba che non dovevo, allego il risultato di "# iptables -L":
htt*://freefilehosting.net/file/?id=pNvzk6vc
Modifica
Firestarter:
htt*://freefilehosting.net/file/?id=pNvym6nb -> /etc/init.d/firewal
htt*://freefilehosting.net/file/?id=pNvym6rR -> /etc/firestarter/firestarter.sh
Fine modifica
Le porte aperte sono quelle usate da amule e azureus, ma apre indistintamente TCP/UDP (le ho parametrate con firestarter..), quindi anche li un problema c'è..insomma, forse ho fatto un altro casino  ?
|
Modificato da - Yves in Data 25/03/2006 20:48:44
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 25/03/2006 : 00:41:14
|
| Sono del tutto inesperto, in ogni caso provo a dirti cosa ho capito dopo una rapida occhiata. Premettendo che non conosco cosa sia la catena INBOUND, ho visto che nella catena INPUT la prima regola dice di accettare tutti i pacchetti TCP tranne quelli impostati con flag SYN, RST e ACK/SYN e provenienti dal router. Ora, se gli altri pc passano dal router per poter accedere ai servizi della macchina principale, questa vedrà come indirizzo di origine l'indirizzo del router e secondo me, per poter accedere ai servizi non dovrebbero essere negati i pacchetti TCP con qualunque flag. In pratica, secondo me, la prima regola della catena INPUT è sbagliata. Ovviamente dirgli di accettare tutti i pacchetti TCP con qualuqnue flag in pratica è come avere il firewall disabilitato. Secondo me più che filtrare sulla base dei flag TCP dovresti filtrare sulla base delle porte di destinazione, specificando di accettare solo quelle relative ai servizi che intendi offrire (SAMBA, ecc.), sempre lavorando sulla catena INPUT. Ripeto, sono del tutto inesperto e sinceramente non conosco la catena INBOUND. Spero solo che si facciano vivi quanto prima gli esperti (Gimli e Trunks) per portare chiarimenti, l'argomento è molto interessante. |
 |
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 25/03/2006 : 20:15:39
|
Citazione:
Messaggio inserito da pedrus
Sono del tutto inesperto, in ogni caso provo a dirti cosa ho capito dopo una rapida occhiata. Premettendo che non conosco cosa sia la catena INBOUND, ho visto che nella catena INPUT la prima regola dice di accettare tutti i pacchetti TCP tranne quelli impostati con flag SYN, RST e ACK/SYN e provenienti dal router. Ora, se gli altri pc passano dal router per poter accedere ai servizi della macchina principale, questa vedrà come indirizzo di origine l'indirizzo del router e secondo me, per poter accedere ai servizi non dovrebbero essere negati i pacchetti TCP con qualunque flag. In pratica, secondo me, la prima regola della catena INPUT è sbagliata. Ovviamente dirgli di accettare tutti i pacchetti TCP con qualuqnue flag in pratica è come avere il firewall disabilitato.
Errore ped 
Allora, la catena INBOUND e' una catena personalizzata, creata da firestarter. Quanto ai pacchetti che arrivano dal router, l'IP sorgente non viene toccato, tanto piu' che se arrivano da un altro host della rete locale vengono gestiti a livello 2 (link fisico) dallo switch integrato nel router.
La regola ACCEPT all -- anywhere anywhere e' un "tranello": da qui non si vede, ma si riferisce all'interfaccia di loopback, quindi i pacchetti proseguono giu' lungo la catena.
Il problema probabilmente sta qui:
DROP all -- anywhere 192.168.2.255
Dato che cups e samba usano pacchetti broadcast per scoprire le condivisioni (mi pare), se li si blocca e' chiaro che la cosa non funziona. Basta commentare la regola nelo script che tira su il firewall.
Ciao  |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 25/03/2006 : 20:48:04
|
Ok, grazie alla pazienza di Gimli sono forse uscito dal problema, in pratica ho commentato queste tre linee in questo files:
/etc/firestarter/firewall
# if [ "$BCAST" != "" ]; then
# $IPT -A INPUT -d $BCAST -j DROP
# yvesBsAs fi
e miracolosamente adesso sembra che si sia deciso a lasciar entrare gli altri PC della rete senza il mio intervento.
Ciao. |
|
|
| |
Discussione |
|
|
|
Impostazioni IpTables, mi fa i capricci (RISOLTO)
Forum Bloccato
