Problema con iptables

Non solo Windows: il forum che permette di discutere sui sistemi operativi alternativi a Windows.

Moderatore: Staff forum IlSoftware.it

Problema con iptables

Messaggiodi Zena » 25 mar 2008 17:58

Ciao a tutti,
sono nuovo del forum ed ammetto la mia ignoranza, anzi, diciamola tutta, confido nelle vostre capacità.

Mi trovo alle prese con la configurazione di un firewall linux, tramite iptables.
In particolare il mio sistema è composta da tre schede di rete, 2 per due sottoreti distinte (2 LAN interne), 1 che si interfaccia con il router e permette il collegamento con internet.

In una delle sottoreti c'è un server ftp, che risulta raggiungibile dall'esterno (collegandosi all'IP pubblico che fa capo alla relativa sottorete, i pacchetti di dati vengono rediretti al server ftp interno alla LAN).
Il problema nasce quando dall'interno della LAN vogliono raggiungere il server ftp. Mi spiego: per motivi aziendali/pratici sul client ftp non è ipostato l'IP interno alla LAN al quale risponde il loro server ftp, ma è impostato l'IP pubblico al quale risponde il server.

Vorrei sapere se e come posso intercettare una connessione proveniente dalla sottorete in oggetto (o dalla loro scheda di rete), che ha per destinazione il loro IP pubblico e reindirizzarla all'IP interno alla sottorete stessa (ovvero l'IP del server ftp).

P.S. Gli i IP pubblici sono statici.

Qulacuno mi può aiutare?
Grazie!!
Zena
 
Messaggi: 4
Iscritto il: 25 mar 2008 17:43

Messaggiodi juk » 26 mar 2008 11:01

Ciao Zena e benvenuto sul Forum :o
Premetto che; io metterei il Server FTP su una delle 2 network internet e gestirei il routing con NAT... ( in questo modo, decade il Tuo problema... ) ;)
Venendo alla condizione attuale; non capisco se è un problema di firewall o di routing.
Da una delle macchine in una delle 2 network, riesci a pingare l'IP pubblico del Server FTP :?: ( ovviamente do per scontato che ICMP sia stato aperto in tutto e per tutto su iptables... )
Se non viene raggiunto, hai impostato, prima della drop, il Logginig :?: ( se si, cosa leggi in kernel.log :?: )

Fai sapere...

bye juk
Immagine
The empires of the future are the empires of the mind. [ Winston Churchill ]
Le conquiste del futuro derivano dalle conquiste della mente.
Avatar utente
juk
Moderatore
Moderatore
 
Messaggi: 6482
Iscritto il: 09 giu 2004 12:42
Località: Genova

Messaggiodi Zena » 26 mar 2008 11:32

Ciao juk,
grazie per la risposta.

Allora, il mio problema è proprio riuscire ad intercettare i pacchetti dati con regole del firewall e redirigerli all'IP interno.

Riesco a pingare il server, sia con l'IP interno alla LAN, sia con l'IP pubblico. Digitando l'IP pubblico sulla barra degli indirizzi di explorer la risposta è "It Works".

Da quanto mi aveva detto il tecnico che ci ha configurato la rete, non c'è la possibilità di uscire su internet e rientrare sulla LAN, per questo speravo ci fosse un modo di "prendere" il pacchetto prima che esca su internet e cambiare l'IP destinazione.

Avevo provato con il PREROUTING ed il DNAT dell'IP, mettendo quello interno della macchina server ftp. Ovvero, la regola era tipo:

iptables -t nat -I prerouting -p tcp -s (nome della LAN origne) - d (indirizzo IP pubblico) -j DNAT --to=(IP interno del server ftp)

però non funziona..

Ah, il logging non l'ho impostato, per motivi di privacy aziendale sono poche ormai le cose che si possono loggare e da ste parti sono anche parecchio sensibili..

Ti viene in mente niente? Il problema è nella regola?
Zena
 
Messaggi: 4
Iscritto il: 25 mar 2008 17:43

Messaggiodi juk » 26 mar 2008 15:16

1) Se riesci a pingarlo, il problema è iptables...
2) Non è assolutamente vietato fare il logging del traffico di rete. La questione è assai complessa, ma non è assolutamente il caso del logging da parte dei firewall aziendali !!
Anzi, è assolutamente indicato, alla fine di ogni regola per ogni singola catena di iptables, abilitare il logging; soprattutto per aver traccia di eventuali attacchi o intromissioni :!::!:
Io non natterei gli IP interni in pubblici per accedere al Server FTP. Il fatto che risponda al ping, è sintomatico di un inoltro diretto tra le schede di rete interne al Server ;)
Occorre secondo me, trovare in quale catena e a quale regola, viene intercettato il pacchetto e bloccato da iptables; questo è possible solo abilitando il logging su iptables ;)
Una volta intercettata la regola, basta semplicemente scrivere una regola sequanzialmente precedente a questa, che abiliti il traffico, per far terminare il controllo da parte del firewall :o

bye juk
Immagine
The empires of the future are the empires of the mind. [ Winston Churchill ]
Le conquiste del futuro derivano dalle conquiste della mente.
Avatar utente
juk
Moderatore
Moderatore
 
Messaggi: 6482
Iscritto il: 09 giu 2004 12:42
Località: Genova


Torna a Linux e altri sistemi operativi

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite