[RISOLTO] IP forwarding blocca accesso a cups

[waka_jawaka]

Ho un pc che mi fa da gateway. Lo script che avvia tutto l'ambaradan, copiato spudoratamente dal wiki di slack è

Codice: Seleziona tutto

#!/bin/sh 

#Attivo l'interfaccia di rete locale eth1 
ifconfig eth0 up
ifconfig eth1 up

#carico i moduli del kernel 
modprobe ip_tables 
modprobe ip_conntrack 
modprobe iptable_nat 
modprobe ipt_MASQUERADE 

#Maschero i pacchetti 
iptables -t nat -A POSTROUTING ! -d  192.168.2.0/24  -j MASQUERADE 

#Abilito l'ip forwarding solo per la mia rete 
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT 
iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT 
iptables -A FORWARD -j DROP 

Tutto ok tranne una cosa: dal gateway non riesco a collegarmi all'interfaccia web di cups. Se con un browser faccio localhost:631 ottengo una pagina bianca con "400 bad request".
Se non faccio partire lo script all'avvio mi collego a cups senza problemi
Ecco l'output di tail -f /var/log/cups/error_log:

Codice: Seleziona tutto

I [16/Dec/2009:13:41:30 +0100] Started "/usr/lib/cups/cgi-bin/admin.cgi" (pid=3323)
I [16/Dec/2009:13:41:32 +0100] Started "/usr/lib/cups/cgi-bin/classes.cgi" (pid=3324)
I [16/Dec/2009:13:41:34 +0100] Started "/usr/lib/cups/cgi-bin/help.cgi" (pid=3325)
I [16/Dec/2009:13:41:36 +0100] Started "/usr/lib/cups/cgi-bin/jobs.cgi" (pid=3326)
I [16/Dec/2009:13:41:37 +0100] Started "/usr/lib/cups/cgi-bin/admin.cgi" (pid=3327)
I [16/Dec/2009:13:41:40 +0100] Started "/usr/lib/cups/cgi-bin/admin.cgi" (pid=3328)
I [16/Dec/2009:13:41:41 +0100] Started "/usr/lib/cups/cgi-bin/help.cgi" (pid=3329)
I [16/Dec/2009:13:41:43 +0100] Started "/usr/lib/cups/cgi-bin/jobs.cgi" (pid=3330)
I [16/Dec/2009:13:41:44 +0100] Started "/usr/lib/cups/cgi-bin/printers.cgi" (pid=3331)
W [16/Dec/2009:13:43:33 +0100] Request from "192.168.2.1" using invalid Host: field "localhost:631"

Quando ho lanciato tail l'IP forward non era attivato; L'ultima riga è stata "stampata" dopo il lancio dello script di cui sopra.
E mi sembra che tutto il problema sia in quella maledetta ultima riga: perché l'indirizzo di loopback viene rimappato come 192.168.2.1?
Grazie a tutti in anticipo e ciao.

[lamarozzo]

Non sono un esperto di Iptables ma mi sembra che prima di fare il drop dei pacchetti devi dare una regola di accept sull'interfaccia di loopback (quella che sicuramente cups utilizza). Qualcosa del tipo

Codice: Seleziona tutto

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT

Non mi ricordo esattamente il comando che uso io, stasera quando vado a casa posso ricontrollare.

[waka_jawaka]

Ho risolta combiando le regole di iptables, utilizzando le interfacce invece della sottorete. Da così:

Codice: Seleziona tutto

iptables -t nat -A POSTROUTING ! -d  192.168.2.0/24  -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT 
iptables -A FORWARD -j DROP 

a così:

Codice: Seleziona tutto

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j DROP 

Grazie a tutti.