Impostare IpTables Tramite Webim per far funzionare outlook.

[rampa84]

vedo l insieme di regole da webmin... pero' o ti posto uno screen shot del webmin oppure non posso fare altrimenti...

[W.S.]

ma webmin che fa, ti crea un'immagine con l'insieme delle regole? Non puoi fare copia-incolla?

webmin non ti permette di eseguire comandi? se si esegui:
'iptables -t filter -L -n -v' e copia il risultato

p.s.: ecco perchè odio le interfacce a iptables.

[rampa84]

hai ragione....

ascolta io quando torno a casa stasera vedo di inviarti l'insieme delle regole...
perche da dove mi trovo adesso ho la visualizzazione dei webservers disattivata e non posso accedere a webmin...

[rampa84]

si mi permette di eseguire i comandi da console

[rampa84]

Allora...

pacchetti in ingresso

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se la sorgente è 192.168.1.0/255.255.255.0 e l interfaccia di ingresso è eth1 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 10000 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 22 e lo stato della connessione è NEW

azione prdefinita : rifiuta



pacchetti in uscita

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 80

Accetta se la sorgente è 192.168.0.0/255.255.0.0 e la destinazione è 192.168.0.0/255.255.0.0

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 110 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 110

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 25 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 25

Accetta se la sorgente è 192.168.1.2 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.3 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.5 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.8 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.19 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.20 e lo stato della connessione è NEW

azione predefinita : rifiuta

[W.S.]

odio ste azz di interfacce, ogni volta bisogna capire come interpretano le regole... in questo caso... pacchetti in ingresso si intende quelli destinati alla rete interna o quelli destinati alla macchina gateway? bha, facciamo che siano quelli destinati alla LAN

Quote:

Originariamente inviato da rampa84

Allora...

pacchetti in ingresso

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se la sorgente è 192.168.1.0/255.255.255.0 e l interfaccia di ingresso è eth1 e lo stato della connessione è NEW

Quest'ultima non mi pare giusta, prima hai detto che 192.168.1.0 è sulla eth0 e ora ti aspetti dei pacchetti rovenienti da 192.168.1.0 sulla eth1, io la leverei.

Quote:

Originariamente inviato da rampa84

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 10000 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e l interfaccia di ingresso è eth0 e la porta di destinazione è 22 e lo stato della connessione è NEW

azione prdefinita : rifiuta



pacchetti in uscita

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 135:139

Respingi se il protocollo è UDP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 445

Respingi se il protocollo è TCP e la sorgente è 192.168.0.0/255.255.0.0 e l interfaccia di ingresso è eth1 e la porta di destinazione è 80

strano modo per bloccare quelle porte, è meglio levare gli indirizzi della rete e lasciare solo "se il protocollo è X e l'interfaccia di ingresso e eth1 e la porta dest è..." oppure levare proprio la regola, tanto la policy di default è DROP (in caso contrario, di fatto, queste porte sarebbero aperte anche con le tue regole dato che esse riguardano solo 192.168.0.0/255.255.0.0.

Quote:

Originariamente inviato da rampa84

Accetta se la sorgente è 192.168.0.0/255.255.0.0 e la destinazione è 192.168.0.0/255.255.0.0

Accetta se lo stato della connessione è RELATED,ESTABLISHED

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 110 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 110

Quest'ultima non serve

Quote:

Originariamente inviato da rampa84

Accetta se il protocollo è TCP e la sorgente è 192.168.1.5 e la porta di destinazione è 25 e lo stato della connessione è NEW

Accetta se il protocollo è TCP e la destinazione è 192.168.1.5 e la porta di destinazione è 25

Quest'ultima non serve

Quote:

Originariamente inviato da rampa84

Accetta se la sorgente è 192.168.1.2 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.3 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.5 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.8 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.19 e lo stato della connessione è NEW

Accetta se la sorgente è 192.168.1.20 e lo stato della connessione è NEW

azione predefinita : rifiuta

Tutte le ultime regole ("se la sorgente è X e lo stato della connessione è NEW") di fatto rendono inutili le accept precedenti, quindi o decidi che quegli ip son abilitati ad uscire con qualsiasi cosa o specifichi ogni singola connessione.

Comunque dovrebbe andare (la navigazione funziona correttamente da 192.168.1.5 giusto?)
Facciamo così: visto che con ste interfaccia non riesco a trovare il problema, esegui
'iptables -t filter -L -n -v'
e posta il risultato.

[rampa84]

domani ti posto il risultato...

[rampa84]

ahhh grandeeee ... non lo sapevo... accidenti dovrei imparare ad usare bene queste cose..... dunque il risultato di quello che mi hai chiesto e' questo:


Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
438 74818 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
291 32320 ACCEPT all -- eth1 * 192.168.1.0/24 0.0.0.0/0 state NEW
13 624 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpts:135:139
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpts:135:139
0 0 DROP udp -- eth1 * 192.168.0.0/16 0.0.0.0/0 udp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:445
0 0 DROP tcp -- eth1 * 192.168.0.0/16 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT all -- * * 192.168.0.0/16 192.168.0.0/16
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.1.5 0.0.0.0/0 tcp dpt:110 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.5 tcp dpt:110
0 0 ACCEPT tcp -- * * 192.168.1.5 0.0.0.0/0 tcp dpt:25 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.5 tcp dpt:25
0 0 ACCEPT all -- * * 192.168.1.2 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.3 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.5 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.8 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.19 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 192.168.1.20 0.0.0.0/0 state NEW

Chain OUTPUT (policy ACCEPT 569 packets, 411K bytes)
pkts bytes target prot opt in out source destination

ricordo che:

eth00 e' 192.168.2.2 ed e' collegata al router dell'alice quello pirelli blu... smartgate credo si chiami;

eth01 e' 192.168.1.254 ed e' collegata allo switch della rete....

mi risulta poi un eth02... strano.. ne ho solo due di schede di rete ed ha ip 192.168.10.254... boh!

poi ho lo ... loopback che e' 127.0.0.1...

che non sia un impostazione dello squid che non mi permette di fare funzionare outlook???

[W.S.]

ma... sicuro che la navigazione funzioni correttamente? Da quello che hai scritto risulta che non è passato nessun pacchetto dal firewall, l'avevi appena riavviato/ricaricato le regole?

Il problema è che dovrebbe andare... fai cosi, dal pc 192.168.1.5, esegui
"telnet X 25" dove X è il server smtp che hai impostato in outlook.
Se ti riponde una cosa del tipo:
"220 bla bla bla" o qualsiasi cosa che non sia "connection refused" va bene.
poi fai la stessa cosa con il pop3: "telnet Y 110" (Y = server pop3)
e ti dovrebbe ripondere "+OK hello there." o comunque non conn. refused.
Dopo queste prove (soprattutto se ottieni un conn. refused) torna su webadmoin e riesegui il comando
"iptables -t filter -L FORWARD -n -v"
a questo punto, se le regole che interessano 192.168.1.5 (porte 25 e 110) hanno ancora i campi "pkts bytes" a "0 0" significa che il problema è prima del firewall (personal firewall su 192.168.1.5?)

comunque, se la navigazione da 192.168.1.5 funziona, il firewall è a posto (per essere sicuri posta anche "iptables -t nat -L -n -v"), tanto che le regole che t'ho fatto mettere sono inutili perchè comprese in
"0 0 ACCEPT all -- * * 192.168.1.5 0.0.0.0/0 state NEW"

EDIT: squid? pork... vuoi vedere che non hai il masquerade? posta "iptables -t nat -L -n -v" e assicurati che il comando "cat /proc/sys/net/ipv4/ip_forward" torni 1

[rampa84]

Chain PREROUTING (policy ACCEPT 549 packets, 54678 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
299 18469 MASQUERADE all -- * eth0 192.168.0.0/16 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 299 packets, 18469 bytes)
pkts bytes target prot opt in out source destination

questo e' il risultato di quello che mi hai chiesto ... mmmm ci sto capendo sempre meno... pork


Tolgo quindi le regole che mi haoi chiesto ?? Si, effettivamente da firewall il 192.168.1.5 non dovrebbe venire bloccato... si la navigazione funziona e' tutto ok!!

[rampa84]

se il comando telnet non mi risponde evidentemente ci sono problemi....
ma se mi risponde ?? a questop punto dici che sia l' impostazione dell'outlook sabagliata?

[W.S.]

"cat /proc/sys/net/ipv4/ip_forward" stampa 1 ?

Si, le regole che ho detto all'inizio possono essere levate, non sapevo avessi abilitato qualsiasi traffico da quell'ip, per questo le avevo suggerite.

Il problema potrebbe essere squid, la navigazione non fa testo perchè passa da squid.

Se ti risponde significa che è outlook impostato male.

[rampa84]

si torna 1 quel comando

[W.S.]

ma telnet che dice?

[rampa84]

e' quello che sto pensando anche io...

purtoppo non posso eseguire quel comando di telnet... ora..

te lo dico tra un po'

[rampa84]

c'e' qulache maniera per verificare le impostazioni di squid ??

[W.S.]

si, ma non son sicuro ti piacerà
il file di config principale è /etc/squid/quid.conf (di solito si trova li) solo che da webadmin non ho idea di come fare a modificarlo agevolmente.
Comunque non va modificato. Squid interessa solo le connessioni web, non quelle di posta, prima di fare qualcosa è meglio sapere dove sta il problema, aspettiamo di avere il verdetto di telnet

[rampa84]

uffa ...

[rampa84]

aiah.... .... connessione non riuscita... pork....

[W.S.]

e se fai ora
"iptables -t filter -L FORWARD -n -v" da webmin (senza ricaricare nessuna regola)
che dice? Quanti pacchetti ha matchato?