iptables - client messengers in internet but no surf

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
pikus
Linux 0.x
Linux 0.x
Messaggi: 15
Iscritto il: lun 2 lug 2007, 1:37

iptables - client messengers in internet but no surf

Messaggio da pikus »

Ciao a tutti.
Ho abilitato l'ip forwarding su linux. Le regole del firewall e server dhcp...
I messengers funzionano bene su internet, ma da client non posso andare in nessun sito web... pero' posso pingare per esempio yahoo.com.

eth1 = my public IP
eth2 = c'e' collegato direttamente 1 client windows

ecco il mio firewall:

Codice: Seleziona tutto

:INPUT ACCEPT [179:50132]
:FORWARD ACCEPT [37:1805]
:OUTPUT ACCEPT [217:24615]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Jul 28 20:23:21 2007
# Generated by iptables-save v1.3.8 on Sat Jul 28 20:23:21 2007
*nat
:PREROUTING ACCEPT [10:521]
:POSTROUTING ACCEPT [12:576]
:OUTPUT ACCEPT [12:719]
-A PREROUTING -i eth2 -p tcp -m tcp --dport 6662 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p tcp -m tcp --dport 48741 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p udp -m udp --dport 48741 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p udp -m udp --dport 6672 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p udp -m udp --dport 3830 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3830 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.20
-A PREROUTING -i eth2 -p tcp -m tcp --dport 1445 -j DNAT --to-destination 192.168.100.20:443
-A PREROUTING -i eth2 -p tcp -m tcp --dport 1446 -j DNAT --to-destination 192.168.100.20:80
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
questo e' il traffico quando cerca il client di andare su internet:

Codice: Seleziona tutto

P 192.168.100.20.4252 > 217.146.182.26.80: tcp 0
IP 192.168.100.20.4252 > 192.168.100.20.80: tcp 0
IP 192.168.100.20.4252 > 217.146.182.26.80: tcp 0
IP 192.168.100.20.4252 > 192.168.100.20.80: tcp 0
IP 192.168.100.20.4254 > 62.73.178.61.80: tcp 0
IP 192.168.100.20.4254 > 192.168.100.20.80: tcp 0
IP 192.168.100.20.4254 > 62.73.178.61.80: tcp 0
IP 192.168.100.20.4254 > 192.168.100.20.80: tcp 0
IP 192.168.100.20.4252 > 217.146.182.26.80: tcp 0
IP 192.168.100.20.4252 > 192.168.100.20.80: tcp 0
IP 192.168.100.20.4254 > 62.73.178.61.80: tcp 0
IP 192.168.100.20.4254 > 192.168.100.20.80: tcp 0
questo e' invece qualche messenger

Codice: Seleziona tutto

IP 217.17.41.85.8074 > 192.168.100.20.4134: tcp 75
IP 192.168.100.20.4134 > 217.17.41.85.8074: tcp 0
IP 217.17.41.85.8074 > 192.168.100.20.4134: tcp 26
IP 192.168.100.20.4134 > 217.17.41.85.8074: tcp 8
IP 217.17.41.85.8074 > 192.168.100.20.4134: tcp 0
IP 217.17.41.85.8074 > 192.168.100.20.4134: tcp 26
IP 192.168.100.20.4134 > 217.17.41.85.8074: tcp 0
questo e' il route

Codice: Seleziona tutto

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   *               255.255.255.0   U     0      0        0 eth2
62.121.112.0    *               255.255.252.0   U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         254-tor-8.ac***** 0.0.0.0         UG    0      0        0 eth1
dove ho sbagliato?

Rispondi