[risolto] modificare regole firewall

[gmc]

Carissimi, mi tocca modificare la seguente configurazione del firewall.

Prima di tutto: c'è una rete interna (192.168.0.0/24) collegata ad un server (192.168.0.10) e da qui si va su internet.

Devo permettere di navigare su internet tramite squid, permettere la mail con pop3(s)/smtp(s), msn e praticamente nient'altro.

Finora le regole (che negavano l'utilizzo del pop3) erano:

Codice:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3128 -j REDIRECT --to-port 9090

iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port 6891:6900  -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port 1863  -j MASQUERADE

iptables -A INPUT -p icmp ! --icmp-type echo-reply -j DROP
iptables -A INPUT -p icmp  --icmp-type echo-request -j DROP
iptables -A FORWARD -p tcp --syn -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl1.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl2.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl3.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl4.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl5.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl6.avgate.net -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d time.windows.com -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d update.microsoft.com -j MASQUERADE
iptables -t nat -p tcp -A POSTROUTING -s 192.168.0.0/24 --destination-port rtsp -j MASQUERADE
iptables -t nat -p udp -A POSTROUTING -s 192.168.0.0/24 --destination-port rtsp -j MASQUERADE

ho provato ad aggiungere le seguenti linee sia alla fine sia (ho provato con o senza entrambe) sia dopo le porte 6891:6900

Codice:

iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port 995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port 587 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port pop3 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 --destination-port smtp -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s 192.168.0.0/24 --destination-port 995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s 192.168.0.0/24 --destination-port 587 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s 192.168.0.0/24 --destination-port pop3 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s 192.168.0.0/24 --destination-port smtp -j MASQUERADE

Cosa sbaglio?

Grazie,
Peppe

P.S. le regole non le ho fatte io, me le sono già trovate fatte e in più devo permettere l'utilizzo della mail.

[MaXeR]

ciao! se ti connetti tramite telnet ad una delle porte pop3 di un server di posta esterno, funziona/timeout o altro?
effettui un flush delle regole prima di ricaricarle?

[gmc]

Grazie,

in questo momento non posso controllare, poi vi faccio sapere.

Ovviamente prima di ricaricare le regole davo iptables -F e poi iptables -X.

Ci sono due "cose strane":

• se davo iptables -L -nv mi dava qualche linea ma in tutti i campi degli indirizzi mi dava sempre 0.0.0.0
• la linea "

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d dl1.avgate.net -j MASQUERADE" che prima mi permetteva di scaricare gli aggiornamenti per l'antivirus senza passare dal proxy, non funziona (!) più.

Addirittura ho provato a ripristinare le vecchie regole, ma msn non funziona più, mentre prima sì. Mi dice che il gateway non è attivo.

Tenete presente (anche se non dovrebbe fare differenza) che sto agendo su un server con sopra una vecchia fedora 2. (a settembre, con tutta calma dopo l'estate, farò la conversione a debian!)

Grazie ancora,
Peppe

[gmc]

Uhm...

dati vari telnet a vario indirizzi sia su porta smtp che pop3 e mi risponde (da un pc windows della rete lan)

Codice:

telnet relay.poste.it 25
Connessione a relay.poste.it...Impossibile aprire una connessione con l'host. sulla porta 25: Connessione non riuscita

e così per tutti gli altri indirizzi e porte.

Un'altra cosa ancora più strana: ho sentito telefonicamente il vecchio amministartore che mi ha detto che una volta ha "sciarriato" (combattuto) un'intera giornata con il server sulle regole del firewall. Poi preso da disperazione ha cambiato scheda di rete e tutto funzionava.

Che anche questa volta sia un problema hardware?
Comunque per 7 euri una prova io la faccio, al limite mi rimane un ethernet pci...

Grazie,
Peppe

[gmc]

Finalmente ce l'abbiamo fatta, anche se non ho capito perché (!):

essenzialmente ho fatto due cose,

• ho cambiato scheda di rete
• ho aggiunto all'inizio la regola
  

Codice:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 62.94.0.1 -j MASQUERADE

dove quest'ultimo è l'indirizzo del dns. Facendo delle prove è risultato necessario, altrimenti non si collega.[/li]

La cosa che mi lascia assolutamente perplesso è il "fatto" della scheda di rete: come è possibile che pur funzionando (il proxy andava benissimo) non riesca a fare il matching delle regole? Tutto mi farebbe piuttosto pensare ad un bug/implementazione non completa del driver nel kernel.

Idee?

Ciao,
Peppe

P.S. qualcuno mi spiega perché è necessaria la regola per il dns?

[tindal]

questa vicenda è curiosa... l'unica cosa che mi viene in mente a riguardo della scheda è che alcune schede fanno il checksum dei pacchetti in hardware: magari c'è un errore di implementazione nella scheda che impedisce al kernel di effettuare il match dei pacchetti...
però è solo un'ipotesi: prova a vedere se altri in rete hanno questi problemi con la tua scheda

per quanto riguarda le regole, onestamente ora non ho il tempo di studiarmele, ma siccome tra non molto mi toccherà mettere su qualcosa di simile a quello che hai fatto tu, non escludo di riaprire questa discussione

ciao
tindal