Ciao a tutti,
devo aggiungere, tramite webmin, una regola al mio ip tables che mi faccia comunicare outlook... al momento le porte sono bloccate e ovviamente outlook non funziona.

up

scusa: puoi spiegare più in dettaglio il tuo problema?

non ho mai usato webmin ma, presumendo che iptables si trovi su un pc che fa da gateway, devi inserire le regole:

iptables -t filter -I FORWARD -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT
iptables -t filter -I FORWARD -s 192.168.0.0/24 -p tcp --dport 110 -j ACCEPT
iptables -t filter -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

dove 192.168.0.0/24 è la tua rete interna (le porte precedenti sono SMTP (25) e pop3 (110), se servono altre porte (imap o altro) il discorso è analogo)

P.S.: so che iptables è un firewall e questa è la sezione giusta, ma forse è meglio se la discussione venga spostata sotto linux

si si trova su un pc che fa da gateway.... ben detto.... adesso provo.. scusate ma sono stato in ospedale...

ma tutto su forward?

hai detto bene... ma io non posso spostare la conversazione...

Tutto su FORWARD in quanto le connessioni da abilitare non son destinate n'è generate dal gateway ma son solo "di passaggio".
la navigazione normale funziona giusto? Se si, non hai bisogno di regole aggiuntive nel NAT e probabilmente avrai già la regola "...ESTABLISHED, RELATED ..."

spiego con i numeri tutta la situazione...

192.168.1.5 <- pc che deve accedere ai server pop e smtp.
192.168.1.1/26 < pc della rete.
192.168.1.254 <- eth 00 proxy.
192.168.2.2 <- eth 01 proxy.
192.168.2.1 <- router.


ecco qui. :)

si si established related ce le ho...
se vuoi ti posto uno screen di web min con le regole...

così magari capisci meglio.... ti ringrazio dell'aiuto...
:D

ma hai provato:

iptables -t filter -I FORWARD -s 192.168.1.5 -p tcp --dport 25 -j ACCEPT
iptables -t filter -I FORWARD -s 192.168.1.5 -p tcp --dport 110 -j ACCEPT

?
se non funzionano controlla:
1) che siano passati pacchetti matchati da queste regole
se si:
2.a) che il router non blocchi le connessioni
se no:
2.b) che le connessioni escano da 192.168.1.5 e che non siano bloccate prima di arrivare al gateway

ho modificato da casa adesso quando torno in azienda provo... :)

ma hai webmin sul firewall dell'azienda ed è raggiungibile dall'esterno? Se si non è ste gran chè come politica di sicurezza... se puoi evitarlo ti consiglio vivamente quantomeno di renderlo raggiungibile solo dall'interno della rete aziendale...

si è accessibile... beh finche uno non conosce l'indirizzo IP... poi c'è anche la pwd e la user ovviamente...

ci mancherebbe pure che non avesse user-pass!
vedi tu, io non so quante risorse (tuo tempo/voglia di configurare) sei disposto a sacrificare, so che è un punto parecchio debole avere un'applicazione web, con privilegi di root sul gateway, accessibile dall'esterno.
Poi è probabile che mai nessuno venga a toccarti, sicuramente è molto meglio di una rete senza firewall :D. Dico solo che, se hai voglia di imparare un pochino linux, questo potrebbe essere un ottimo punto di partenza :)

immagino ... e che non ho molto tempo....

accidenti non va!

forse è meglio se posti lo script (hai controllato che le regole accettino qualche pacchetto?) appena avrò 5 minuti gli darò un'occhiata :)

e' quello non posso postartelo.... non posso vederlo da web...

bhe, senza sapere che regole carica iptables mi risulta un tantino difficile capire cosa c'è che non va :rolleyes: potremmo provare con la chiaroveggenza ma non la reputo molto affidabile...

ma come fai a sapere che hai la regola ".. established, related .."? Lo script a cui mi riferivo è semplicemente l'insieme di regole che fai caricare ad iptables.

vedo l insieme di regole da webmin... pero' o ti posto uno screen shot del webmin oppure non posso fare altrimenti...

ma webmin che fa, ti crea un'immagine con l'insieme delle regole? Non puoi fare copia-incolla?

webmin non ti permette di eseguire comandi? se si esegui:
'iptables -t filter -L -n -v' e copia il risultato

p.s.: ecco perchè odio le interfacce a iptables.

:D :D :D :D hai ragione....

ascolta io quando torno a casa stasera vedo di inviarti l'insieme delle regole...
perche da dove mi trovo adesso ho la visualizzazione dei webservers disattivata e non posso accedere a webmin...

si mi permette di eseguire i comandi da console

Allora...

pacchetti in ingresso

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se la sorgente è 192.168.1.0/255.255.255.0 e l interfaccia di ingresso è eth1 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 10000 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 22 e lo stato della connessione è NEW

azione prdefinita : rifiuta



pacchetti in uscita

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 80

Accetta se la sorgente è 192.168.0.0/255.255.0.0 e la destinazione è 192.168.0.0/255.255.0.0

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 110 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 110

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 25 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 25

Accetta se la sorgente è 192.168.1.2 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.3 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.5 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.8 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.19 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.20 e lo stato della connessione è NEW

azione predefinita : rifiuta

odio ste azz di interfacce, ogni volta bisogna capire come interpretano le regole... in questo caso... pacchetti in ingresso si intende quelli destinati alla rete interna o quelli destinati alla macchina gateway? bha, facciamo che siano quelli destinati alla LAN :)

Allora...

pacchetti in ingresso

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se la sorgente è 192.168.1.0/255.255.255.0 e l interfaccia di ingresso è eth1 e lo stato della connessione è NEW

Quest'ultima non mi pare giusta, prima hai detto che 192.168.1.0 è sulla eth0 e ora ti aspetti dei pacchetti rovenienti da 192.168.1.0 sulla eth1, io la leverei.


Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 10000 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 22 e lo stato della connessione è NEW

azione prdefinita : rifiuta



pacchetti in uscita

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 80

strano modo per bloccare quelle porte, è meglio levare gli indirizzi della rete e lasciare solo "se il protocollo è X e l'interfaccia di ingresso e eth1 e la porta dest è..." oppure levare proprio la regola, tanto la policy di default è DROP (in caso contrario, di fatto, queste porte sarebbero aperte anche con le tue regole dato che esse riguardano solo 192.168.0.0/255.255.0.0.

Accetta se la sorgente è 192.168.0.0/255.255.0.0 e la destinazione è 192.168.0.0/255.255.0.0

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 110 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 110

Quest'ultima non serve

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 25 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 25

Quest'ultima non serve

Accetta se la sorgente è 192.168.1.2 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.3 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.5 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.8 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.19 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.20 e lo stato della connessione è NEW

azione predefinita : rifiuta
Tutte le ultime regole ("se la sorgente è X e lo stato della connessione è NEW") di fatto rendono inutili le accept precedenti, quindi o decidi che quegli ip son abilitati ad uscire con qualsiasi cosa o specifichi ogni singola connessione.

Comunque dovrebbe andare (la navigazione funziona correttamente da 192.168.1.5 giusto?)
Facciamo così: visto che con ste interfaccia non riesco a trovare il problema, esegui
'iptables -t filter -L -n -v'
e posta il risultato.

domani ti posto il risultato...

ahhh grandeeee ... non lo sapevo... accidenti dovrei imparare ad usare bene queste cose..... dunque il risultato di quello che mi hai chiesto e' questo:


Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
438 74818 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
291 32320 ACCEPT all -- eth1 * 192.168.1.0/24 0.0.0.0/0 state NEW
13 624 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpts:135:139
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpts:135:139
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT all -- * * 192.168.0.0/16 192.168.0.0/16
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.1.5 0.0.0.0/0 tcp dpt:110 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.5 tcp dpt:110
0 0 ACCEPT tcp -- * * 192.168.1.5 0.0.0.0/0 tcp dpt:25 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.5 tcp dpt:25
0 0 ACCEPT all -- * * 192.168.1.2 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.3 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.5 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.8 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.19 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.20 0.0.0.0/0 state NEW

Chain OUTPUT (policy ACCEPT 569 packets, 411K bytes)
pkts bytes target prot opt in out source destination

ricordo che:

eth00 e' 192.168.2.2 ed e' collegata al router dell'alice quello pirelli blu... smartgate credo si chiami;

eth01 e' 192.168.1.254 ed e' collegata allo switch della rete....

mi risulta poi un eth02... strano.. ne ho solo due di schede di rete ed ha ip 192.168.10.254... boh!

poi ho lo ... loopback che e' 127.0.0.1...

che non sia un impostazione dello squid che non mi permette di fare funzionare outlook???

ma... sicuro che la navigazione funzioni correttamente? Da quello che hai scritto risulta che non è passato nessun pacchetto dal firewall, l'avevi appena riavviato/ricaricato le regole?

Il problema è che dovrebbe andare... fai cosi, dal pc 192.168.1.5, esegui
"telnet X 25" dove X è il server smtp che hai impostato in outlook.
Se ti riponde una cosa del tipo:
"220 bla bla bla" o qualsiasi cosa che non sia "connection refused" va bene.
poi fai la stessa cosa con il pop3: "telnet Y 110" (Y = server pop3)
e ti dovrebbe ripondere "+OK hello there." o comunque non conn. refused.
Dopo queste prove (soprattutto se ottieni un conn. refused) torna su webadmoin e riesegui il comando
"iptables -t filter -L FORWARD -n -v"
a questo punto, se le regole che interessano 192.168.1.5 (porte 25 e 110) hanno ancora i campi "pkts bytes" a "0 0" significa che il problema è prima del firewall (personal firewall su 192.168.1.5?)

comunque, se la navigazione da 192.168.1.5 funziona, il firewall è a posto (per essere sicuri posta anche "iptables -t nat -L -n -v"), tanto che le regole che t'ho fatto mettere sono inutili perchè comprese in
"0 0 ACCEPT all -- * * 192.168.1.5 0.0.0.0/0 state NEW"

EDIT: squid? pork... vuoi vedere che non hai il masquerade? posta "iptables -t nat -L -n -v" e assicurati che il comando "cat /proc/sys/net/ipv4/ip_forward" torni 1

Chain PREROUTING (policy ACCEPT 549 packets, 54678 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
299 18469 MASQUERADE all -- * eth0 192.168.0.0/16 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 299 packets, 18469 bytes)
pkts bytes target prot opt in out source destination

questo e' il risultato di quello che mi hai chiesto ... mmmm ci sto capendo sempre meno... pork
:mc:

Tolgo quindi le regole che mi haoi chiesto ?? Si, effettivamente da firewall il 192.168.1.5 non dovrebbe venire bloccato... si la navigazione funziona e' tutto ok!!

se il comando telnet non mi risponde evidentemente ci sono problemi....
ma se mi risponde ?? a questop punto dici che sia l' impostazione dell'outlook sabagliata?

"cat /proc/sys/net/ipv4/ip_forward" stampa 1 ?

Si, le regole che ho detto all'inizio possono essere levate, non sapevo avessi abilitato qualsiasi traffico da quell'ip, per questo le avevo suggerite.

Il problema potrebbe essere squid, la navigazione non fa testo perchè passa da squid.

Se ti risponde significa che è outlook impostato male.

si torna 1 quel comando

ma telnet che dice?

e' quello che sto pensando anche io...

purtoppo non posso eseguire quel comando di telnet... ora..

te lo dico tra un po'

c'e' qulache maniera per verificare le impostazioni di squid ??

si, ma non son sicuro ti piacerà :sofico:
il file di config principale è /etc/squid/quid.conf (di solito si trova li) solo che da webadmin non ho idea di come fare a modificarlo agevolmente.
Comunque non va modificato. Squid interessa solo le connessioni web, non quelle di posta, prima di fare qualcosa è meglio sapere dove sta il problema, aspettiamo di avere il verdetto di telnet ;)

uffa ... :cry:

aiah....:( .... connessione non riuscita... pork....

e se fai ora
"iptables -t filter -L FORWARD -n -v" da webmin (senza ricaricare nessuna regola)
che dice? Quanti pacchetti ha matchato?

in che senso senza caricare nessuna regola?

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpts:135:139
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpts:135:139
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT all -- * * 192.168.0.0/16 192.168.0.0/16
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 192.168.1.2 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.3 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.5 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.8 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.19 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.20 0.0.0.0/0 state NEW

ecco, il problema sono tutti quei "0 0" davanti alle regole, significa che nessun pacchetto è stato controllato.
Non ne è stato n'è accettao n'è scartato nemmeno uno, il che significa che non fa alcun forward. Sicuro che le impostazioni di rete di 192.168.1.5 siano corrette? Immagino che non funzioni nemmeno un semplice ping :(
(da 192.168.1.5 -> prompt comandi -> ping www.google.it)

vuoi dire che il firewall ha lasciato passare tutto??? perche' le impostazioni sono sbagliate??

nono, non ha lasciato passare nulla. Il problema è che non gli è arrivato nulla da far passare, altrimenti non ci sarebbero tutti quegli 0.
Se avesse bloccato tutto la riga
Chain FORWARD (policy DROP 0 packets, 0 bytes)
riporterebbe quanti pacchetti droppati e la dimensione complessiva

EDIT: e se avesse lasciato passare qualcosa lo indicherebbe nella riga corrispondente

uh porca

:stordita:

in effetti non pinga all'esterno....
uhm...
che siano le impostazioni di squid??

-----

ah dicevamo che non puo esssere squid...

ma... domanda stupida... la rete è configurata giusta su 192.168.1.5?
ha come gateway 192.168.1.254? ha qualche personal firewall installato?

da prompt dei comandi (su 192.168.1.5) se esegui 'route print' che dice?

si... è impostata corretta...

si ha il personal firewall della norton... ma avevo gia provato a disabilitarlo... ... proverò ancora... ti saprò dire quanto prima e anche ti passerò il risultato del comando che mi hai chiesto...

adesso funziona.... che roba stupida c'era..... il gateway sbagliato... come ho fatto a non pensarci... che stupido....

ero fottutamente sicuro che fosse impostata giusta....
che cog****ne sono!

Edito.....non avevo letto il messaggio finale.:muro:

Comunque la ritenevo una cosa stupida quella dell'IP sbagliato come server di routing ma invece era azzeccata.....

Comunque visto che hai già risolto sono contento per te....:D

Ciauz Ciauz