ipitables
marco ghidinelli
marcogh a linux.it
Mer 3 Mar 2004 14:25:01 UTC
On Wed, Mar 03, 2004 at 01:36:30PM +0100, Sergio Bevilacqua wrote:
>
> non riesco ad attivare il forwarding dall'esterno della rete ad una
> macchina interna... le regole di iptables mi sembrano giuste (voglio
> forwardare dalla 10022 del server a SSH e la 2401 per CVS).
> mando un estratto del file delle regole...
> qualcuno mi sa aiutare?
>
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [0:0]
> :OUTPUT DROP [0:0]
> :ICMPPKT - [0:0]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -p icmp -j ICMPPKT
> -A FORWARD -s 192.168.1.7 -j ACCEPT
> -A FORWARD -d 192.168.1.7 -j ACCEPT
che senso ha questa ^^^^^^ regola?
> -A FORWARD -p tcp -m tcp --dport 2401 -j ACCEPT
> -A FORWARD -p tcp -m tcp --dport 10022 -j ACCEPT
e queste ^^^^^ due? se non specifichi la -i rischi anche di fare dei danni.
> COMMIT
>
> * nat
> :PREROUTING ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT
> --to-ports 3128
questa ^^^^ non centra nulla
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 2401 -j DNAT
> --to-destination 192.168.1.7:2401
che cos'e' -m tcp? serve a qualcosa? sopra non hai specificato gia' di
forwardare tutto il traffico verso la 192.168.1.7 ? perche' ora forwardi
solo una porta? secondo me le regole sono in conflitto
> -A PREROUTING -i eth0 -p udp -m udp --dport 10022 -j DNAT
> --to-destination 192.168.1.7:22
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 10022 -j DNAT
> --to-destination 192.168.1.7:22
come prima.. secondo me va in conflitto con la regola messa in filter...
> -A OUTPUT -d 38.144.57.0/24 -j DROP
questa cosa fa? non dovrebbe stare nella sezione 'filter'?
> -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
> -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
> --clamp-mss-to-pmtu
> COMMIT
boh.
ciao.
Maggiori informazioni sulla lista
Lug
|