Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall e Iptables

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
MarcoCh



Registrato: 09/05/15 11:14
Messaggi: 1

MessaggioInviato: Sab Mag 09, 2015 11:36 am    Oggetto: Firewall e Iptables Rispondi citando

Buongiorno a tutti.
Chiedo un aiuto sulla configurazione di ZeroShell.

Ho fatto diverse prove sui parametri di configurazione del firewall e delle iptables ma non ottengo
il risultato desiderato.
Ho installato ZeroShell su una CPU ALU e tutto funziona.
Invece ho difficiltà ad aprire una porta dall'esterno (internet su porta ETH01) verso la lan (intranet sulla porta ETH02). In particolare devo abilitare sulla rete estera (internet su ETH01) 3 porte (2015,1550,8000 :protocollo tcp) per potermi connettere ad un video server iVMS
tramite PC o telefonino. Gi indirizzi su ETH01 sono dinamici (range 192.168.1.xxx) e sono statici su ETH02 (almeno per video server e telecamere). Dinamici su un range riservato.

I pacchetti in ingresso su ETH01 (internet) sulle tre porte menzionate devono essere indirizzati sulla porta corrispondente del video server connesso su ETH02 con indirizzo IP statico 192.168.2.200.
Ho indicato il NAT sulla porta ETH01 (NAT enabled interface) ed infatti da ETH02 e ETH00 (queta riservata per console) riesco ad uscire su internet.

Per abilitare l'accesso al sistema
ho impostato queste regole del Firewall su Chain INPUT Policy ACCEPT:

1 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 no
2 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0 no
3 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED no
4 ETH01 * ACCEPT tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.2.0/24 tcp spt:2015 dpt:2015 no
5 ETH01 * ACCEPT tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.2.0/24 tcp spt:1550 dpt:1550 no
6 ETH01 * ACCEPT tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.2.0/24 tcp spt:8000 dpt:8000 no

Ho poi inserito nello script "nat & Virtual Server" le seguenti entry in IPTABLES
iptables -t nat -I PREROUTING -p tcp -i ETH01 --dport 2015 -j DNAT --to 192.168.2.200:2015
iptables -t nat -I PREROUTING -p tcp -i ETH01 --dport 1550 -j DNAT --to 192.168.2.200:1550
iptables -t nat -I PREROUTING -p tcp -i ETH01 --dport 8000 -j DNAT --to 192.168.2.200:8000
#
iptables -t nat -I POSTROUTING -o ETH01 -s 192.168.2.200

Purtroppo deve esserci qualche cosa di sbagliato perche' da internet non raggiungo il videoserver.

Grazie 1000 a chi potesse darmi un aiuto
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Sab Mag 09, 2015 4:19 pm    Oggetto: Rispondi citando

L'ultima entry non la capiso, è commentata ? c'è un commento prima e lei è quindi 'monca' ? Se le default policies sono ad accept, e non hai neanche un drop, tanto vale non inserire alcuna regola (comunque, quello che ti potrebbe interessare sarebbe la chain di FORWARD).
L'interfaccia wan di ZS ha ip privati e dinamici di classe C, c'è davanti un altro router connesso ad internet ?
P.S. solitamente, la s.port è random (a meno che non si sia certi che una determinata applicazione usa una specifica porta sorgente, è meglio non dichiarare niente), quella che invece è necessaria è la d.port.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it