Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

masquerating

Per tutti i tuoi problemi Linux entra qui e risolvili!

Moderatori: gunter, zendune

masquerating

Postdi Luva » 25/10/03 12:22

Ciao a tutti...
ho un problema legato al masq...
Quando mi connetto ad internet utilizzando il server linux tutto ok...
se provo a connettermi con il client nn riesce a risolvermi i nomi (funziona solo http://www.tiscali.it e niente altro, nemmeno mail.tiscali.it)
Se invece inserisco gli ip funziona tutto a meraviglia...
Il file resolv.conf contiene:

search http://www.tiscali.it
nameserver primo_server_dns_tiscali
nameserver secondo_server_dns_tiscali

Le regole del firewall iptables sono in questo script (che nn ho scritto io e quindi magari c'è qualche errore):

echo 1 > /proc/sys/net/ipv4/tcp_ecn
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 > $f
done

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done

#DDOS "protection"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Source address verification
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

#dns
echo -n "DNS... "
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 --sport 1024:65535 -j REJECT
echo " Done."

#icmp importanti
echo -n "ICMP... "
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type host-prohibited -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type network-prohibited -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type protocol-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type port-unreachable -j ACCEPT
echo " Done."
#blocca e logga tutto il resto!
echo -n "Blocking rules engaging... "
# logga solo le connessioni alle porte basse.
iptables -A INPUT -i ppp0 -p tcp -m limit --limit 20/minute --dport 0:1023 -j LOG --log-level notice

# fa cadere tutto il resto.
iptables -A INPUT -i ppp0 -p icmp -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -p tcp --syn --dport 1024:65535 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 0:65535 -j DROP
echo " Done."

#fai il router per winbug
echo -n "NAT..."
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
echo " Done."
exit 0

C'è qualcosa che mi sono dimenticato di fare secondo voi?
Linux Slackware 10.x - Kernel 2.6.10-gX
- - - [ http://b4yzone.altervista.org ] - - -
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Sponsor
 

Postdi texilee » 25/10/03 15:02

#dns
echo -n "DNS... "
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 --sport 1024:65535 -j REJECT
echo " Done."


questa è la parte che ti interessa...

adesso nn ne sono sicuro... ma prova a aggiungere

iptables -A INPUT -i ppp0 -p tcp --sport domain --dport 1024:65535 -j ACCEPT

facci sapere!
texilee
Utente Junior
 
Post: 72
Iscritto il: 28/09/03 12:19
Località: ]TO[

Postdi Luva » 25/10/03 16:51

ho provato a mettere quello che mi hai detto ma nn cambia niente...
grazie cmq
ciao ciao
Linux Slackware 10.x - Kernel 2.6.10-gX
- - - [ http://b4yzone.altervista.org ] - - -
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi Nicola » 26/10/03 12:24

prova ad usare solo la regola del masquerading levando le altre e aggiungine man mano per vedere qual'è quella che blocca. Comunque se vuoi ho un firewall che ho scritto prendendo cose da diverse parti e funziona perfettamente con la LAN; se vuoi ti posto il codice ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Luva » 27/10/03 19:22

di quelle del dns nn so se il problema è dovuto alle regole....
se navigo dal server riesco a risolvere comodamente i nomi....
nn capisco a cosa sia dovuto questo problema...
windows l'ho settato correttamente: gateway predefinito e dns ho messo l'ip del server
x nicola: Postami pure il codice che dicevi
ciao e grazie
Linux Slackware 10.x - Kernel 2.6.10-gX
- - - [ http://b4yzone.altervista.org ] - - -
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi Luva » 27/10/03 21:12

Tranqui...ho risolto...
in pratica:
quelle righe servono se si ha un dns locale...
nel caso nn lo si abbia, bisogna utilizzare i dns del provider
ciao
Linux Slackware 10.x - Kernel 2.6.10-gX
- - - [ http://b4yzone.altervista.org ] - - -
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi texilee » 28/10/03 18:18

lanciando named hai dns in locale ;)
texilee
Utente Junior
 
Post: 72
Iscritto il: 28/09/03 12:19
Località: ]TO[

Postdi bonna1 » 05/04/04 11:15

Nicola ha scritto:prova ad usare solo la regola del masquerading levando le altre e aggiungine man mano per vedere qual'è quella che blocca. Comunque se vuoi ho un firewall che ho scritto prendendo cose da diverse parti e funziona perfettamente con la LAN; se vuoi ti posto il codice ;)

Ciao


se la tua offerta è ancora disponibile a me farebbe molto piacere!
ho cercato in rete ma ho trovato pochissime configurazioni gia confezionate!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi disgrazia » 05/04/04 12:01

E' un problema di dns.
Prova a togliere "search http://www.tiscali.it" da resolv.conf; aggiungi invece una riga "nameserver x.y.z.k" dove x.y.z.k è l'IP di un server DNS.
Per esempio usa 127.0.0.1 se hai bind che gira sulla stessa macchina; oppure il DNS del tuo ISP.
disgrazia
Download Admin
 
Post: 708
Iscritto il: 08/07/02 22:16

Postdi disgrazia » 05/04/04 12:02

Sorry...non avevo notato che il problema era stato già risolto ;)
disgrazia
Download Admin
 
Post: 708
Iscritto il: 08/07/02 22:16

Postdi bonna1 » 06/04/04 09:56

ho un problema simile! non riesco a fare il nat

io uso webmin perche sono un po alle prime armi.... mi potreste dare un aiutino??

vi posto il mio file di conf....
# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue Apr 6 07:33:49 2004
# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*mangle
:PREROUTING ACCEPT [17:1608]
:INPUT ACCEPT [17:1608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2576]
:POSTROUTING ACCEPT [15:2576]
COMMIT
# Completed on Tue Apr 6 07:33:49 2004
# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -i eth0 --dport 10000 -j ACCEPT
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accetta tutti ping
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
COMMIT
# Completed on Tue Apr 6 07:33:49 2004


qualcuno mi sa dire cosa devo inserire?? io ho gia provato a marre questa
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
sotto la sezione
*nat
ma non mi caricava piu iptable.... sono un po in alto mare!!! help!!! :cry:
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi bonna1 » 07/04/04 08:21

il problema di cui sopra è stato risolto...... 8)
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi bonna1 » 07/04/04 08:42

adesso avrei un'altro problemino..... di carattere teorico però....

dove posso trovare informazioni sul funzionamento di iptables??

insomma ho letto parecchie cose ultimamente ma non ho trovato quesi nessun riscontro con quello che il mio amato web min mi propone....
insomma queste sono le 3 pagine di configirazione di ip table

1- paket filter (che contiene i seguenti gruppi di regole)

Packets before routing (PREROUTING)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)

2- paket alteration (che contiene i seguenti gruppi di regole)

Packets before routing (PREROUTING)
Incoming packets (INPUT)
Forwarded packets (FORWARD)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)

3- network addres translatio (che contiene i seguenti gruppi di regole)
Packets before routing (PREROUTING)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)


nei vari manuali che ho letto al massimo venivano citate le le 3 regole della prima pagina....
le altre cosa sono?? e soprattutto che differenza pass tra, ad esempio , il postrouting dell 3 categorie??

spero possiate aiutarmi!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)


Torna a Software Linux

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite