Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aiutooo dnat e firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
piffi



Registrato: 26/06/09 14:46
Messaggi: 28

MessaggioInviato: Ven Nov 11, 2011 2:25 pm    Oggetto: Aiutooo dnat e firewall Rispondi citando

Raga non ci scappo sto diventanto pazzo.....
mi spiego devo semplicemente nattare la 3389 (terminal server) su un ip 10.0.0.253 SOLO da un ip pubblico

DNAT:

Chain PREROUTING (policy ACCEPT 2669K packets, 140M bytes)
pkts bytes target prot opt in out source destination
70 3512 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:10.0.0.253:3389

Chain POSTROUTING (policy ACCEPT 555 packets, 40786 bytes)
pkts bytes target prot opt in out source destination
2563K 132M SNATVS all -- * * 0.0.0.0/0 0.0.0.0/0
2563K 132M MASQUERADE all -- * ETH00 0.0.0.0/0 0.0.0.0/0


Nella sezione firewall la OUTPUT TUTTO IN ACCEPT:

Chain OUTPUT (policy ACCEPT 521K packets, 98M bytes)
pkts bytes target prot opt in out source destination
527K 98M SYS_OUTPUT all -- * * 0.0.0.0/0 0.0.0.0/0

In INPUT default DROP tranne il GRE e la 1723 che mi servono per i client VPN in pptp:

Chain INPUT (policy DROP 5 packets, 390 bytes)
pkts bytes target prot opt in out source destination
27 3625 SYS_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 SYS_HTTPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
16 2545 SYS_HTTPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 SYS_SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
5 575 ACCEPT 47 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0


in FORWARD ho messo andata e ritorno della 3389 dall ip che deve entrare in 3389 e gli ip dei client vpn..tutto il resto dropped:

Chain FORWARD (policy ACCEPT 885 packets, 839K bytes)
pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 10.0.0.253 ip pubblico state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED
2996 163K ACCEPT all -- * * ip pubblico 10.0.0.253 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED
0 0 ACCEPT all -- * * 0.0.0.0/0 10.0.0.253 source IP range 10.0.0.10-10.0.0.19 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED
0 0 ACCEPT all -- * * 10.0.0.253 0.0.0.0/0 destination IP range 10.0.0.10-10.0.0.19 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED

Per funzionare funziona perfettamente nella 3389 entrano solo ip pubblico da me scelto in dnat e i client vpn....

Problema la rete interna eth1 la famosa 10.0.0.0 non naviga !!!!

Che devo fare !!!!

ho provato a mettere anche un
ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 10.0.0.1-10.0.0.254 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED

ma non cambia nulla...

Help please !!!

Piffi
Top
Profilo Invia messaggio privato
renato.morano



Registrato: 23/09/10 09:37
Messaggi: 143

MessaggioInviato: Ven Nov 11, 2011 3:46 pm    Oggetto: Rispondi citando

Ciao,

"credo" che tu debba aggiungere una regola nel postrouting. nella sezione di documentazione puoi trovare le indicazioni.
Top
Profilo Invia messaggio privato
piffi



Registrato: 26/06/09 14:46
Messaggi: 28

MessaggioInviato: Ven Nov 11, 2011 6:37 pm    Oggetto: Rispondi citando

sinceramente non ho capito.....
Comunque, ora pensavo di lasciare la forward in accepted di default..... accettare la 3389 dal ip publico e poi negare la 3389 a tutti...forse potrebbe funzionare...

ci provo..
se avete suggerimenti..
ciao

Piffi
Top
Profilo Invia messaggio privato
renato.morano



Registrato: 23/09/10 09:37
Messaggi: 143

MessaggioInviato: Sab Nov 12, 2011 6:46 am    Oggetto: Rispondi citando

Ciao,

effettivamnete rileggendomi non ho capito nemmeno io Wink non avevo letto con attenzione la tua domanda Rolling Eyes
A parte la redirezione o prima della redirezione della 3389 la rete interna accedeva ad internet ?
Top
Profilo Invia messaggio privato
piffi



Registrato: 26/06/09 14:46
Messaggi: 28

MessaggioInviato: Sab Nov 12, 2011 11:12 am    Oggetto: Rispondi citando

Si si navigava senza prob.....
comunque ho risolto, ho autorizzato la 3389 dall' ip remoto che mi interessava e poi ho negato la 3389 a tutti

In questo modo ho lasciato la forward in accept ..cosi navigano... e ho bloccato la 3389 a tutti tranne l' ip scelto.
Ho lasciato poi anche il drop sulla in

ciao e grazie

Piffi
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it