IPCOP -> Qualcosa non mi è chiaro!!!!!

[stefanoxjx]

Ho installato IPCOP (1.3) su un pc con due schede rete, una RED (192.168.0.100) e una GREEN (192.168.0.200).
Nella GREEN è collegato lo switch che distribuisce i dati a tutta la rete, nella RED è collegato un router (192.168.0.254).
Da come la vedo io, pingando il router da uno dei pc della rete (192.168.0.11) dovrebbe andare senza problemi, e invece non me lo pinga con il conseguente non funzionamento del collegamento a internet.
Quindi od ho sbagliato qualcosa o non ho capito bene il meccanismo del firewall.

Mi potete dare un aiutino?
Grazie.
Ciao.

[e-Tip]

prova a pingare la scheda di rete invece del router e dicci se va

[e-Tip]

gia che ci siamo posta anche il risultato di route -n da uno dei pc della rete interna

[stefanoxjx]

Eccomi!!! scusate il ritardo, ma ho avuto alcuni impegni.
Allora, se dal pc della rete pingo le 2 interfacce di rete, tutto ok.
Se dallo stesso pc pingo il router che è collegato all'interfaccia RED, la risposta è questa:

PING 192.168.0.254 (192.168.0.254): 56 data bytes

e rimane li fermo, senza dirmi altro.

Ho provato a pingare anche il rotuer dal pc IPCOP e succede la stessa cosa, quindi la soluzione del problema si deve ricercare sul firewall.
-------------------------------------------------------------------------------
net -n:

Destination Gateway GenMask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0

Ciao e grazie.

[e-Tip]

a occhio è tutto giusto .... probabilmente è il firewall...
o magari il router.... anche se adesso cedo la parola a qualcuno visto che non sono troppo ferrato in router

[Psycotic]

vabbe' infatti posta le regole di iptables
vediamo qual'e' il problema

[stefanoxjx]

Sto iniziando adesso a studiarmi iptables, quindi per il momento non so come fare per avere la lista delle regole impostate.
Mi potresti illuminare in proposito?

Grazie.
Ciao.

[Psycotic]

Io credevo che gia' avevi impostato qualcosa..
Xvedere le regole di iptables devi fare
iptables -L

cmq a questo punto credo che appena esegui:
echo 1 > /proc/sys/net/ipv4/ip_forward

riuscirai a pingare il router.
Perche' se nn abiliti il forwarding le richieste fatte al tuo gateway verso risorse visibili solo ad esso verranno ignorate..
Vabbe' peggio nn potevo spiegarmi

[stefanoxjx]

Adesso provo subito.
Ma con ipcop, iptables dovrebbe settarsi da solo, per questo non ci ho messo mano.
Purtroppo ho trovato una bella guida su iptables, ma è in formato html e quindi no posso stamparla.
Questo comporta che me la devo per forza leggere a video e per me è un grosso problema perchè come molti riesco a studiare solo quando vado in seduta , in altri momenti ho troppe cose da fare e troppe distrazioni per poter studiare.

[stefanoxjx]

ip_forward è già = 1.

Questo è il risultato di iptables -L:

Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5
CUSTOMINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
RED all -- anywhere anywhere
XTACCESS all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere
DMZHOLES all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere

Chain CUSTOMFORWARD (1 references)
target prot opt source destination

Chain CUSTOMINPUT (1 references)
target prot opt source destination

Chain DMZHOLES (1 references)
target prot opt source destination

Chain PORTFWACCESS (1 references)
target prot opt source destination

Chain PSCAN (4 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain RED (1 references)
target prot opt source destination
ACCEPT gre -- anywhere anywhere
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.0.10 tcp dpt:auth

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere