IPTABLES - trasparent proxy + desktop remoto

mic1 · 30-05-2006, 10:53

Ho una strana configurazione da fare in un serverino dove è installato squid in modalità trasparent proxy.
In pratica sulle macchine degli utenti è impostato come gateway l'ip del server proxy, e gli utenti usavano internet fino ad ora esclusivamente per navigare.
Ora devo far si che gli utenti si colleghino tramite desktop remoto ad altre macchine in internet.
Vorrei quindi che quando un client cerca di collegarsi tramite desktop remoto ad una macchina in internet, il server, che riceve la richiesta, la reindirizzi in internet.
Ho fatto alcuni tentativi ma ho fallito.

La mia attuale configurazione è semplicemente questa:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Questa è una semplice descrizione dell'architettura della rete:

RUTER ADSL che fa anche da firewall
+
SWITCH
+
Vari client ed il server

Qualcuno di voi sa come risolvere il problema?

Grazie

mic1 · 30-05-2006, 11:42

Non so come, ma sembrerebbe che io abbia risolto aggiungendo questo:
iptables -A FORWARD -s 192.0.0.0/255.255.255.0 -p tcp --dport 3389 -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.0.0.0/255.255.255.0 -j MASQUERADE

Se sapete spiegarmelo, un po' di conoscenza sicuramente non mi fa male ....

Ciao

W.S. · 30-05-2006, 12:51

Quote:

Originariamente inviato da mic1

Non so come, ma sembrerebbe che io abbia risolto aggiungendo questo:
iptables -A FORWARD -s 192.0.0.0/255.255.255.0 -p tcp --dport 3389 -i eth0 -j ACCEPT

con questo hai abilitato il passaggio del protocollo tcp porta di destinazione 3389 proveniente dalla rete 192.0.0.x dalla interfaccia eth0. serve se hai la politica di default (o altre rregole) che droppano tutto quello che non autorizzi. FORWARD è la "catena" usata dalle connessioni che non sono destinate alla macchina e che provengono da altre macchine.

Quote:

Originariamente inviato da mic1

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Questo serve ad autorizzare tutte le connessioni richieste o già stabilite (la regola di prima autorizza il primo pacchetto (SYN) questa la risposta e quelli successivi provenienti dalla macchina che riceve la connessione).

Quote:

Originariamente inviato da mic1

iptables -t nat -A POSTROUTING -s 192.0.0.0/255.255.255.0 -j MASQUERADE

con questa modifichi l'indirizzo ip sorgente di tutti i pacchetti provenienti dalla rete 192.0.0.x che il tuo gateway inoltra. Le risposte vengono poi rimesse a posto automaticamente.

Questo detto in parole molto povere, dietro ci sta un bel po di teoria. Se ti interessa:
www.netfilter.org

mic1 · 30-05-2006, 13:25

Grazie per la spiegazione.

Secondo te questa configurazione può andar bene?
Oppure ha qualche difetto?
O ancora necessita di essere affinata?

Ciao

_YTS_ · 30-05-2006, 19:49

ciao
il tuo "presunto" firewall va sicuramente modificato per fare il suo dovere nel migliore dei modi.
nel caso da te esposto non hai specificato la politica di default della catena FORWARD che cmq di default è settata su accept... indi per cui solo la 3 regola in effetti ti serve per la corretta navigazione.
ti consiglio di leggere questo per ora e configurare di conseguenza il firewall
secondo le tue esigenze:

http://www.mod-xslt2.com/people/ccon...mies.html#toc2

W.S. · 30-05-2006, 21:44

gia, se hai la policy di default "accept" è meglio se la metti a "drop" (iptables -t filter -P FORWARD DROP) altrimenti significa che passa tutto in uscita. Cosi pure input ed output andrebbero messe a drop. Il problema più grosso (*) è l'input che settato ad accept significa che accetta tutto quello che gli arriva da internet.

(*) ammesso che il traffico generato dall'interno sia tutto autorizzato e che tu non necessiti di protezioni particolari.

Per il resto può andare.

mic1 · 31-05-2006, 11:42

Vi ringrazio, siete stati molto gentili.

Si, la policy di defoult della catena FORWARD era su accept, infatti permetteva non solo il traffico sulla porta 3389, ma su tutte.
Ora l'ho settata su drop, e funziona come vorrei.
Il traffico sulla catena di INPUT lo posso considerare sicuro, quindi per ora non ci smanetto.

Ciao e grazie ancora

30-05-2006, 10:53	#1
mic1 Member Iscritto dal: Jun 2003 Città: Recanati Messaggi: 194	IPTABLES - trasparent proxy + desktop remoto Ho una strana configurazione da fare in un serverino dove è installato squid in modalità trasparent proxy. In pratica sulle macchine degli utenti è impostato come gateway l'ip del server proxy, e gli utenti usavano internet fino ad ora esclusivamente per navigare. Ora devo far si che gli utenti si colleghino tramite desktop remoto ad altre macchine in internet. Vorrei quindi che quando un client cerca di collegarsi tramite desktop remoto ad una macchina in internet, il server, che riceve la richiesta, la reindirizzi in internet. Ho fatto alcuni tentativi ma ho fallito. La mia attuale configurazione è semplicemente questa: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 Questa è una semplice descrizione dell'architettura della rete: RUTER ADSL che fa anche da firewall + SWITCH + Vari client ed il server Qualcuno di voi sa come risolvere il problema? Grazie

30-05-2006, 19:49	#5
_YTS_ Senior Member Iscritto dal: Oct 2003 Città: La Spezia Messaggi: 962	ciao il tuo "presunto" firewall va sicuramente modificato per fare il suo dovere nel migliore dei modi. nel caso da te esposto non hai specificato la politica di default della catena FORWARD che cmq di default è settata su accept... indi per cui solo la 3 regola in effetti ti serve per la corretta navigazione. ti consiglio di leggere questo per ora e configurare di conseguenza il firewall secondo le tue esigenze: http://www.mod-xslt2.com/people/ccon...mies.html#toc2 __________________ Gigabyte ga-p55-ud6 \| Intel i7 860 \| 2x2gb Corsair xms3 \| Adaptec 2410sa \| raid1 barracuda 500gb 7200.12 \| Intel x25-m 80gb G2 \| ATI radeon 4890 \| tutto in downclock (non ho parenti all'enel)

30-05-2006, 21:44	#6
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	gia, se hai la policy di default "accept" è meglio se la metti a "drop" (iptables -t filter -P FORWARD DROP) altrimenti significa che passa tutto in uscita. Cosi pure input ed output andrebbero messe a drop. Il problema più grosso () è l'input che settato ad accept significa che accetta tutto quello che gli arriva da internet. () ammesso che il traffico generato dall'interno sia tutto autorizzato e che tu non necessiti di protezioni particolari. Per il resto può andare. __________________ [ W.S. ]

30-05-2006, 11:42	#2
mic1 Member Iscritto dal: Jun 2003 Città: Recanati Messaggi: 194	Non so come, ma sembrerebbe che io abbia risolto aggiungendo questo: iptables -A FORWARD -s 192.0.0.0/255.255.255.0 -p tcp --dport 3389 -i eth0 -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.0.0.0/255.255.255.0 -j MASQUERADE Se sapete spiegarmelo, un po' di conoscenza sicuramente non mi fa male .... Ciao

30-05-2006, 13:25	#4
mic1 Member Iscritto dal: Jun 2003 Città: Recanati Messaggi: 194	Grazie per la spiegazione. Secondo te questa configurazione può andar bene? Oppure ha qualche difetto? O ancora necessita di essere affinata? Ciao

31-05-2006, 11:42	#7
mic1 Member Iscritto dal: Jun 2003 Città: Recanati Messaggi: 194	Vi ringrazio, siete stati molto gentili. Si, la policy di defoult della catena FORWARD era su accept, infatti permetteva non solo il traffico sulla porta 3389, ma su tutte. Ora l'ho settata su drop, e funziona come vorrei. Il traffico sulla catena di INPUT lo posso considerare sicuro, quindi per ora non ci smanetto. Ciao e grazie ancora

Strumenti
Mostra una versione stampabile Invia questa pagina per email