Stranooo ( problema di rete! )

Paco · 10-01-2008, 12:07

Buongiorno ragazzi,
ho una macchina linux che mi fa da mail server ( Deepofix )
Ho dovuto cambiare l'indirizzo della rete dal 192.68.x.x a 10.x.x.x,
ho modificato il file etc/network/interface

Codice:

##This file contain the configuration for Network Interface##

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
     address 10.x.x.x
     netmask 255.x.x.x
     gateway 10.x.x.x

Apportando questi cambiamenti il server non viene visto, ne pingato nella rete locale,viceversa il mail server pinga tutti gl'indirizzi interni.

Cosa posso fare????
Tnx

Gimli[2BV!2B] · 10-01-2008, 13:26

Io penserei che in un server del genere dovrebbe esserci qualche firewall, che molto probabilmente era impostato per la vecchia rete.

Se non l'hai modificato applicherà le policies di default (di solito drop) impedendo a tutte le macchine della nuova rete di accedere alla/e porte dei suoi programmi server, mentre il server potrà navigare indisturbato.

Paco · 10-01-2008, 14:32

Quote:

Originariamente inviato da Gimli[2BV!2B]

Io penserei che in un server del genere dovrebbe esserci qualche firewall, che molto probabilmente era impostato per la vecchia rete.

Se non l'hai modificato applicherà le policies di default (di solito drop) impedendo a tutte le macchine della nuova rete di accedere alla/e porte dei suoi programmi server, mentre il server potrà navigare indisturbato.

Da dove lo edito il firewall da riga di comando?

Gimli[2BV!2B] · 10-01-2008, 14:45

Eh...

Intanto sarebbe meglio specificare la distribuzione ed eventualmente la versione.

Un Firewall si può impostare in varie maniere, di solito sono script eseguiti in uno dei runlevel più bassi subito dopo la configurazione delle interfacce di rete.
Può trattarsi di script prefabbricati impostati in qualche modo, può trattarsi di script fatti apposta per la macchina, può essere solo un iptables-restore nome_file_delle_regole messo da qualche parte...

La macchina l'hai impostata tu o l'hai ereditata da qualcun'altro? Se la gestiva qualcun altro proprio non puoi contattarlo?

Paco · 10-01-2008, 14:54

La macchina l'ho fatta io,la distro l'ho specificata nel primo mess dovrebbe derivare dalla debian...

Gimli[2BV!2B] · 10-01-2008, 15:18

Credevo l'avessi ereditata da un amministratore precedente...

Se non l'hai impostato tu potrebbe esserci un firewall preimpostato da parte della tua distribuzione, prova un iptables -L -n (da amministratore) per vedere se ci sono regole attive e posta il risultato.

Altra possibilità è che sia necessario abilitare la nuova rete nelle impostazioni del programma server di posta.

Scusa se non ho afferrato subito che il link indicava l'intera distribuzione, credevo fosse solo il tuo programma server di posta che non conoscevo...

Paco · 11-01-2008, 09:00

Intanto ti ringrazio per il tuo aiuto fin qui

Ecco i risultati di iptables -L- n

Codice:

Chain INPUT (policy DROP)
Target    Prot   Opt        Source              Destination
ACCEPT    all      --        0.0.0.0/0           0.0.0.0/0  
ACCEPT    all      --        0.0.0.0/0           0.0.0.0/0   state RELATED,ESTABLISHED
ACCEPT    icmp     --       192.168.2.0/24       0.0.0.0/0 
ACCEPT    tcp      --       192.168.2.0/24       0.0.0.0/0   tcp dpt:4080
ACCEPT    all      --        0.0.0.0/0           0.0.0.0/0 
ACCEPT    all      --       192.168.2.0/24       0.0.0.0/0 
ACCEPT    tcp      --        0.0.0.0/0           0.0.0.0/0   tcp dpt:80


Chain FORWARD (policy DROP)
Target    Prot   Opt        Source              Destination
ACCEPT    all      --        0.0.0.0/0           0.0.0.0/0   state RELATED,ESTABLISHED


Chain OUTPUT (policy ACCEPT)
Target    Prot   Opt        Source              Destination
ACCEPT    tcp      --        0.0.0.0/0           127.0.0.1   OWNER UID match 33 tcp dpt:5080
REJECT    tcp      --        0.0.0.0/0           127.0.0.1   tcp dpt:5080 reject-with icmp-port-unreachable 
ACCEPT    all      --        0.0.0.0/0           0.0.0.0/0   state RELATED,ESTABLISHED

Gimli[2BV!2B] · 11-01-2008, 20:15

Queste regole sono tutte ACCEPT molto ampie, l'unico REJECT riguarda le connessioni in uscita (OUTPUT) destinate alla porta 5080 dell'interfaccia di loopback (127.0.0.1), si impedisce di dialogare da solo con una sua porta, mah... se c'è ci sarà un motivo (che mi sfugge)...

Prova a specificare di accettare nuove connessioni dalla rete interna, da amministratore (su o sudo):

Codice:

iptables -A INPUT -m state --state NEW -s 192.168.2.0/24 -j ACCEPT

Nel caso funzionasse daresti il completo accesso a qualsiasi servizio disponibile sul server da parte dei PC della rete 192.168.2.0/24; se vuoi dare un limite a questo accesso puoi specificare le porte su cui accettare connessioni. Per esempio per dare accesso POP3 (porta default 110):

Codice:

# cancella l'accesso completo dato prima
iptables -D INPUT -m state --state NEW -s 192.168.2.0/24 -j ACCEPT

# applica la nuova regola di accesso alla sola porta 110
iptables -A INPUT -p tcp –dport 110 -m state –state NEW -s 192.168.2.0/24 -j ACCEPT

(la prima regola serve solo se hai appena attivato l'accesso completo con il primo suggerimento, serve ad eliminarlo prima di attivare il nuovo accesso ristretto).
Per aggiungere altre porte ti è sufficiente ripete il secondo comando modificando il numero dopo -dport, che è appunto la destination port da aprire.

Se questo non funziona prova a controllare le impostazioni del server di posta o aspetta se qualcuno più erudito di me riesce a scovare l'errore in quelle regole di iptables.

Paco · 14-01-2008, 08:02

Quote:

Originariamente inviato da Gimli[2BV!2B]

Queste regole sono tutte ACCEPT molto ampie, l'unico REJECT riguarda le connessioni in uscita (OUTPUT) destinate alla porta 5080 dell'interfaccia di loopback (127.0.0.1), si impedisce di dialogare da solo con una sua porta, mah... se c'è ci sarà un motivo (che mi sfugge)...

Prova a specificare di accettare nuove connessioni dalla rete interna, da amministratore (su o sudo):

Codice:

iptables -A INPUT -m state --state NEW -s 192.168.2.0/24 -j ACCEPT

.

Ciao ma io ho nella rete interna un indirizzo 10.0.0.X...

Gimli[2BV!2B] · 14-01-2008, 12:48

Scusa, me n'ero dimenticato, anche perchè le poche regole specifiche presenti sono relative a quella rete (ma mi sembrano ridondanti visto cha la prima regola è "accetta tutto"...).

Comunque basta modificare il parametro -s (source) del comando con la rete corretta, in questo modo:

Codice:

iptables -A INPUT -m state --state NEW -s 10.0.0.0/24 -j ACCEPT

Paco · 17-01-2008, 14:00

Grazie adesso funziona!!!

Veramente gentile...quando scendi in Versilia ti meriti un caffè!

Gimli[2BV!2B] · 17-01-2008, 16:42

Bene! Però non so se al prossimo riavvio ci sarà ancora...

Potrebbe anche darsi che le memorizzi prima di spegnersi e le ripristini all'avvio, ma non è detto. Eventualmente prova un riavvio ed accertalo prima di cercare.

Se la regola va persa dovresti capire come vengono impostate le regole di iptables che hai trovato preconfigurate ed aggiungere questa.
Purtroppo non ho idea di come lo facciano in questa particolare distribuzione... Prova a spulciare la documentazione sul sito o cerca di capire se c'è qualche forum/mailing-list in cui chiedere.

Paco · 22-01-2008, 14:34

Gia fatto il riavvio e tutto funzia...
tnx ancora!!!

10-01-2008, 12:07	#1
Paco Senior Member Iscritto dal: Jun 2000 Città: Ai piedi delle Alpi Apuane Messaggi: 424	Stranooo ( problema di rete! ) Buongiorno ragazzi, ho una macchina linux che mi fa da mail server ( Deepofix ) Ho dovuto cambiare l'indirizzo della rete dal 192.68.x.x a 10.x.x.x, ho modificato il file etc/network/interface Codice: ##This file contain the configuration for Network Interface## auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.x.x.x netmask 255.x.x.x gateway 10.x.x.x Apportando questi cambiamenti il server non viene visto, ne pingato nella rete locale,viceversa il mail server pinga tutti gl'indirizzi interni. Cosa posso fare???? Tnx __________________ FORTITUDO MEA IN ROTA

10-01-2008, 13:26	#2
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Io penserei che in un server del genere dovrebbe esserci qualche firewall, che molto probabilmente era impostato per la vecchia rete. Se non l'hai modificato applicherà le policies di default (di solito drop) impedendo a tutte le macchine della nuova rete di accedere alla/e porte dei suoi programmi server, mentre il server potrà navigare indisturbato. __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

10-01-2008, 14:45	#4
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Eh... Intanto sarebbe meglio specificare la distribuzione ed eventualmente la versione. Un Firewall si può impostare in varie maniere, di solito sono script eseguiti in uno dei runlevel più bassi subito dopo la configurazione delle interfacce di rete. Può trattarsi di script prefabbricati impostati in qualche modo, può trattarsi di script fatti apposta per la macchina, può essere solo un iptables-restore nome_file_delle_regole messo da qualche parte... La macchina l'hai impostata tu o l'hai ereditata da qualcun'altro? Se la gestiva qualcun altro proprio non puoi contattarlo? __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

10-01-2008, 14:54	#5
Paco Senior Member Iscritto dal: Jun 2000 Città: Ai piedi delle Alpi Apuane Messaggi: 424	La macchina l'ho fatta io,la distro l'ho specificata nel primo mess dovrebbe derivare dalla debian... __________________ FORTITUDO MEA IN ROTA

10-01-2008, 15:18	#6
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Credevo l'avessi ereditata da un amministratore precedente... Se non l'hai impostato tu potrebbe esserci un firewall preimpostato da parte della tua distribuzione, prova un iptables -L -n (da amministratore) per vedere se ci sono regole attive e posta il risultato. Altra possibilità è che sia necessario abilitare la nuova rete nelle impostazioni del programma server di posta. Scusa se non ho afferrato subito che il link indicava l'intera distribuzione, credevo fosse solo il tuo programma server di posta che non conoscevo... __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

11-01-2008, 20:15	#8
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Queste regole sono tutte ACCEPT molto ampie, l'unico REJECT riguarda le connessioni in uscita (OUTPUT) destinate alla porta 5080 dell'interfaccia di loopback (127.0.0.1), si impedisce di dialogare da solo con una sua porta, mah... se c'è ci sarà un motivo (che mi sfugge)... Prova a specificare di accettare nuove connessioni dalla rete interna, da amministratore (su o sudo): Codice: iptables -A INPUT -m state --state NEW -s 192.168.2.0/24 -j ACCEPT Nel caso funzionasse daresti il completo accesso a qualsiasi servizio disponibile sul server da parte dei PC della rete 192.168.2.0/24; se vuoi dare un limite a questo accesso puoi specificare le porte su cui accettare connessioni. Per esempio per dare accesso POP3 (porta default 110): Codice: # cancella l'accesso completo dato prima iptables -D INPUT -m state --state NEW -s 192.168.2.0/24 -j ACCEPT # applica la nuova regola di accesso alla sola porta 110 iptables -A INPUT -p tcp –dport 110 -m state –state NEW -s 192.168.2.0/24 -j ACCEPT (la prima regola serve solo se hai appena attivato l'accesso completo con il primo suggerimento, serve ad eliminarlo prima di attivare il nuovo accesso ristretto). Per aggiungere altre porte ti è sufficiente ripete il secondo comando modificando il numero dopo -dport, che è appunto la destination port da aprire. Se questo non funziona prova a controllare le impostazioni del server di posta o aspetta se qualcuno più erudito di me riesce a scovare l'errore in quelle regole di iptables. __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

14-01-2008, 12:48	#10
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Scusa, me n'ero dimenticato, anche perchè le poche regole specifiche presenti sono relative a quella rete (ma mi sembrano ridondanti visto cha la prima regola è "accetta tutto"...). Comunque basta modificare il parametro -s (source) del comando con la rete corretta, in questo modo: Codice: iptables -A INPUT -m state --state NEW -s 10.0.0.0/24 -j ACCEPT __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

17-01-2008, 14:00	#11
Paco Senior Member Iscritto dal: Jun 2000 Città: Ai piedi delle Alpi Apuane Messaggi: 424	Grazie adesso funziona!!! Veramente gentile...quando scendi in Versilia ti meriti un caffè! __________________ FORTITUDO MEA IN ROTA

17-01-2008, 16:42	#12
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Bene! Però non so se al prossimo riavvio ci sarà ancora... Potrebbe anche darsi che le memorizzi prima di spegnersi e le ripristini all'avvio, ma non è detto. Eventualmente prova un riavvio ed accertalo prima di cercare. Se la regola va persa dovresti capire come vengono impostate le regole di iptables che hai trovato preconfigurate ed aggiungere questa. Purtroppo non ho idea di come lo facciano in questa particolare distribuzione... Prova a spulciare la documentazione sul sito o cerca di capire se c'è qualche forum/mailing-list in cui chiedere. __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

22-01-2008, 14:34	#13
Paco Senior Member Iscritto dal: Jun 2000 Città: Ai piedi delle Alpi Apuane Messaggi: 424	Gia fatto il riavvio e tutto funzia... tnx ancora!!! __________________ FORTITUDO MEA IN ROTA

Strumenti
Mostra una versione stampabile Invia questa pagina per email