Siti irraggiungibili (lunga)
InSa
prima di tutto grazie per avermi aiutato con i dvd. :)))
Ora ho un altro problema che non so risolvere (l'ho già postato su
un'altra ml, ma non siamo riusciti a risolverlo). Il problema è che siti
come www.punto-informatico.it, www.nvidia.it o ftp.isdn4linux.de per me
risultano irraggiungibili. Mi era stato detto di mettere una riga
"usepeerdns" dentro /etc/ppp/options, io usando debian e collegandomi
eseguendo un "pon libero" l'ho messa dentro /etc/ppp/peers/libero ma
niente da fare. Ho provato anche a metterla in /etc/ppp/options, ma il
risultato non cambia (alcuni nella ml avevano il mio stesso problema, e
in questa maniera a loro funzionava). Ho così pensato che fosse un
discorso di firewall, ma niente da fare (ho rimosso il firewall, ma
niente da fare). Non è un problema ri rotta, perchè riesco a pingarli e
a "traceroutarli" (mamma mia...). Non è un discorso di cookies, perchè
non riesco a raggiungerli con qualsiasi browser. I dns vengono risolti.
Con win$ funziona tutto...
Avete qualche suggerimento?!?
Vi posto anche il file di configurazione di iptables.
--------------------------------------------
#!/bin/bash
#
#file di configurazione di iptables:
IFACE="ppp0"
IRETE="eth0"
# Carico i moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# Cancello tutte le precedenti configurazioni
iptables -F
iptables -X
iptables -Z
# Setto la "politica" delle catene a DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# PROTEZIONE DAL SYN-FLOODING
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
# Vieto i frammenti
iptables -A INPUT -i $IFACE -f -j DROP
# DNS
iptables -A INPUT -i $IFACE -s xxx.xxx.xxx.xxx -m state --state
ESTABLISHED -j ACCEPT iptables -A INPUT -i $IFACE -s xxx.xxx.xxx.xxx -m
state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -d
xxx.xxx.xxx.xxx -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A
OUTPUT -o $IFACE -d xxx.xxx.xxx.xxx -m state --state NEW,ESTABLISHED -j
ACCEPT
# CONSENTO L'USCITA SU VARIE PORTE PER VARI SERVIZI:
# SSH
iptables -A INPUT -i $IFACE -p tcp --sport 22 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ! $IFACE -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT iptables -A FORWARD -i ! $IFACE -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ! $IFACE -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT
# WWW
iptables -A INPUT -i $IFACE -p tcp --sport 80 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 80 -m
state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $IFACE -p
tcp --sport 8080 -m state --state ESTABLISHED -j ACCEPT iptables -A
OUTPUT -o $IFACE -p tcp --dport 8080 -m state --state NEW,ESTABLISHED -j
ACCEPT iptables -A INPUT -i $IFACE -p tcp --sport 443 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 443 -m
state --state NEW,ESTABLISHED -j ACCEPT
# Telnet
iptables -A INPUT -i $IFACE -p tcp --sport 23 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o pppo -p tcp --dport 23 -m
state --state NEW,ESTABLISHED -j ACCEPT
# FTP
iptables -A INPUT -i $IFACE -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 21 -m
state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $IFACE -p
tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables
-A OUTPUT -o $IFACE -p tcp --dport 20 -m state --state ESTABLISHED -j
ACCEPT iptables -A INPUT -i $IFACE -p tcp --sport 1024:65535 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o
$IFACE -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# SMTP e POP e IMAP4
iptables -A INPUT -i $IFACE -p tcp --sport 25 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 25 -m
state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $IFACE -p
tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT iptables -A
OUTPUT -o $IFACE -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j
ACCEPT iptables -A INPUT -i $IFACE -p tcp --sport 143 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 143 -m
state --state NEW,ESTABLISHED -j ACCEPT
# NNTP
iptables -A INPUT -i $IFACE -p tcp --sport 119 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 119 -m
state --state NEW,ESTABLISHED -j ACCEPT
# XCHAT
iptables -A INPUT -i $IFACE -p tcp --sport 6667 -m state --state
ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp --dport 6667
-m state --state NEW,ESTABLISHED -j ACCEPT
# LimeWire
iptables -A INPUT -i $IFACE -p tcp --sport 6346 -m state --state
ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o $IFACE -p tcp
--dport 6346 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# ICMP
iptables -A INPUT -i $IFACE -p icmp -m state --state ESTABLISHED,RELATED
-j ACCEPT iptables -A OUTPUT -o $IFACE -p icmp -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
# PARANOIA
#iptables -A INPUT -i $IFACE -j LOG --log-prefix "IPTABLES
PROTOCOL-X-IN: " iptables -A INPUT -i $IFACE -j DROP
#iptables -A OUTPUT -o $IFACE -j LOG --log-prefix "IPTABLES
PROTOCOL-X-OUT: " iptables -A OUTPUT -o $IFACE -j DROP
# Carico il modulo nat
modprobe iptable_nat
# Maschero tutti i pacchetti in uscita da $IFACE
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
# Attivo l'IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Permetto qualsiasi traffico tra eth0
iptables -N rete
iptables -A INPUT -i $IRETE -p all -j rete
iptables -A OUTPUT -o $IRETE -p all -j rete
iptables -A FORWARD -o $IRETE -p all -j rete
iptables -A FORWARD -i $IRETE -p all -j rete
iptables -A rete -i $IRETE -j ACCEPT
iptables -A rete -o $IRETE -j ACCEPT
--------------------------------------------------------
Grazie e Ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
--
To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
walter valenti
Se fai un telnet sulla 80 cosa ottieni ???
Walter
>Salve a tutti,
>
>prima di tutto grazie per avermi aiutato con i dvd. :)))
>
>Ora ho un altro problema che non so risolvere (l'ho già postato su
>un'altra ml, ma non siamo riusciti a risolverlo). Il problema è che siti
>come www.punto-informatico.it, www.nvidia.it o ftp.isdn4linux.de per me
>risultano irraggiungibili. Mi era stato detto di mettere una riga
>"usepeerdns" dentro /etc/ppp/options, io usando debian e collegandomi
>eseguendo un "pon libero" l'ho messa dentro /etc/ppp/peers/libero ma
>niente da fare. Ho provato anche a metterla in /etc/ppp/options, ma il
>risultato non cambia (alcuni nella ml avevano il mio stesso problema, e
>in questa maniera a loro funzionava). Ho così pensato che fosse un
>discorso di firewall, ma niente da fare (ho rimosso il firewall, ma
>niente da fare). Non è un problema ri rotta, perchè riesco a pingarli e
>a "traceroutarli" (mamma mia...). Non è un discorso di cookies, perchè
>non riesco a raggiungerli con qualsiasi browser. I dns vengono risolti.
>Con win$ funziona tutto...
>
>Avete qualche suggerimento?!?
>
>
>
--
God hates us all
Nick Name
avevo gli stessi problemi con l'ADSL, non so se può essere
Ciao
Vince
Samuele Giovanni Tonon
> Potresti controllare con ifconfig il campo mtu dell'interfaccia ppp0? Io
questo e' solo se usi una adsl e con pppoe (causa mtu a 1492)
Prova a disabilitare ecn (Explicit Congestion Notification)
echo 0 >/proc/sys/net/ipv4/tcp_ecn
ciao
Samuele
--
Samuele Giovanni Tonon <sa...@linuxasylum.net> http://www.linuxasylum.net/~samu/
Acid -- better living through chemistry.
Timothy Leary
InSa
walter valenti <wal...@waltervalenti.it> uscì senza ombrella e
assaporando le gocce cadere sulla sua faccia disse:
> Quali sono esattamente i siti irraggiungibili ???
www.nvidia.it
www.punto-informatico.it
> Se fai un telnet sulla 80 cosa ottieni ???
telnet www.nvidia.it 80
Trying 209.213.198.80...
poi il nulla... (non si collega)
telnet www.punto-informatico.it 80
Trying 62.152.117.47...
poi il nulla... (non si collega)
se vuoi ifconfig:
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:26 errors:0 dropped:0 overruns:0 frame:0
TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1539 (1.5 KiB) TX bytes:1539 (1.5 KiB)
ppp0 Link encap:Point-to-Point Protocol
inet addr:151.25.36.31 P-t-P:151.5.184.54
Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST
MTU:1500 Metric:1 RX packets:1088 errors:1 dropped:0
overruns:0 frame:0 TX packets:1059 errors:0 dropped:0
overruns:0 carrier:0 collisions:0 txqueuelen:3
RX bytes:694175 (677.9 KiB) TX bytes:90548 (88.4 KiB)
> Walter
Grazie e ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
walter valenti
Walter
-- God hates us all
InSa
assaporando le gocce cadere sulla sua faccia disse:
> Puoi vedere con tcpdump cosa passa ???
certo!
Allora, se tento di collegarmi a www.punto-informatico.it il risultato è
il seguente:
----------------------------
tcpdump: listening on ppp0
20:23:29.683650 151.25.36.31.1038 > 195.210.91.100.domain: 15386+ A?
www.punto-informatico.it. (42) (DF) 20:23:29.831574
195.210.91.100.domain > 151.25.36.31.1038: 15386 1/2/2 A 62.152.117.47
(138) (DF) 20:23:29.832428 151.25.36.31.1245 > 62.152.117.47.www: SWE
1006627697:1006627697(0) win 5840 <mss 1460,sackOK,timestamp 431580
0,nop,wscale 0> (DF) 20:23:32.831609 151.25.36.31.1245 >
62.152.117.47.www: SWE 1006627697:1006627697(0) win 5840 <mss
1460,sackOK,timestamp 431880 0,nop,wscale 0> (DF) 20:23:38.831615
151.25.36.31.1245 > 62.152.117.47.www: SWE 1006627697:1006627697(0) win
5840 <mss 1460,sackOK,timestamp 432480 0,nop,wscale 0> (DF)
20:23:40.131576 151.5.184.54 > 224.0.0.1: igmp query v3 [tos 0xc0] [ttl
1] 20:23:40.261579 151.5.184.54 > 224.0.0.13: pim v2 Hello (Hold-time
1m45s) (OLD-DR-Priority: 1) (State Refresh Capable ?0x1000000?) [tos
0xc0] [ttl 1] 20:23:50.831611 151.25.36.31.1245 > 62.152.117.47.www:
SWE 1006627697:1006627697(0) win 5840 <mss 1460,sackOK,timestamp 433680
0,nop,wscale 0> (DF)-------------------------------
e poi richiesta scaduta, mentre se tento di collegarmi a www.nvidia.it:
-------------------------------
tcpdump: listening on ppp0
20:25:58.530522 151.25.36.31.1038 > 195.210.91.100.domain: 15387+ A?
www.nvidia.it. (31) (DF) 20:25:58.671575 195.210.91.100.domain >
151.25.36.31.1038: 15387 1/2/2 A 209.213.198.80 (142) (DF)
20:25:58.672405 151.25.36.31.1246 > 209.213.198.80.www: SWE
1167153853:1167153853(0) win 5840 <mss 1460,sackOK,timestamp 446464
0,nop,wscale 0> (DF) 20:26:01.671611 151.25.36.31.1246 >
209.213.198.80.www: SWE 1167153853:1167153853(0) win 5840 <mss
1460,sackOK,timestamp 446764 0,nop,wscale 0> (DF) 20:26:07.671611
151.25.36.31.1246 > 209.213.198.80.www: SWE 1167153853:1167153853(0) win
5840 <mss 1460,sackOK,timestamp 447364 0,nop,wscale 0> (DF)
20:26:11.061576 151.5.184.54 > 224.0.0.13: pim v2 Hello (Hold-time
1m45s) (OLD-DR-Priority: 1) (State Refresh Capable ?0x1000000?) [tos
0xc0] [ttl 1] 20:26:19.671612 151.25.36.31.1246 > 209.213.198.80.www:
SWE 1167153853:1167153853(0) win 5840 <mss 1460,sackOK,timestamp 448564
0,nop,wscale 0> (DF) 20:26:41.151578 151.5.184.54 > 224.0.0.13: pim v2
Hello (Hold-time 1m45s) (OLD-DR-Priority: 1) (State Refresh Capable
?0x1000000?) [tos 0xc0] [ttl 1] 20:26:41.161574 151.5.184.54 >
224.0.0.1: igmp query v3 [tos 0xc0] [ttl 1]-----------------
Grazie e ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
--
Davide Alberani
> Ora ho un altro problema che non so risolvere (l'ho già postato su
> un'altra ml, ma non siamo riusciti a risolverlo). Il problema è che
> siti come www.punto-informatico.it, www.nvidia.it o ftp.isdn4linux.de
> per me risultano irraggiungibili.
Hai un kernel 2.4 con ECN compilato?
Se si`, negli script di init, metti:
echo 0 > /proc/sys/net/ipv4/tcp_ecn
> Vi posto anche il file di configurazione di iptables.
Che carnaio :-)
--
(=---= albe...@libero.it =------------= PGP KeyID: 0x465BFD47 =--=)
) Davide Alberani (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)
InSa
Davide Alberani <albe...@libero.it> uscì senza ombrella e assaporando
le gocce cadere sulla sua faccia disse:
> Hai un kernel 2.4 con ECN compilato?
> Se si`, negli script di init, metti:
> echo 0 > /proc/sys/net/ipv4/tcp_ecn
si, ho il kernel 2.4.17 , ma non so cosa sia ECN. Ho cmq provato a fare
echo 0 > /proc/sys/net/ipv4/tcp_ecn ma niente da fare
> > Vi posto anche il file di configurazione di iptables.
>
> Che carnaio :-)
cioè?!? si accettano sempre suggerimenti... :)))
Grazie e ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
Davide Alberani
> In un giorno di pioggia, verso il Thu, 27 Jun 2002 09:06:25 +0200,
> Davide Alberani <albe...@libero.it> uscě senza ombrella e
> assaporando le gocce cadere sulla sua faccia disse:
...disse: porca pupattola, piove acido solforico!
> si, ho il kernel 2.4.17 , ma non so cosa sia ECN.
Explicit Congestion Notification (rfc 2481).
Se tra te e la destinazione ci sono router/firewall vecchi o
mal configurati, la connessione non si instaura.
> > Che carnaio :-)
>
> cioč?!? si accettano sempre suggerimenti... :)))
Beh, tante righe, tanti problemi. :-)
I firewall (come tutto) andrebbero resi semplici, per quanto possibile.
Nello specifico: belle regole e sicuramente funziona bene, ma...
note sparse:
* tante regole complicate: dubito reggerebbe carichi significativi.
* la parte di syn-flood e` (moderatamente) inutile per una connessione
dial-up (posto che tu abbia una connessione dial-up, ovvio ;-)
* discriminare i pacchetti in base (anche) alla sorgente dalla quale
_sostengono_ di provenire e` inutile: stanno mentendo!
* aprire singoli servizi non mi pare utile, se poi li limiti ad un
utilizzo "dall'interno" (regole con state ESTABLISHED).
Questo non vale se vuoi offrire un servizio all'esterno, ovvio, ma
non e` questo il caso di una macchina client.
Un decente schema potrebbe essere il seguente:
* policy a DROP per tutte le catene.
* eventualmente invia un icmp-port-unreachable per il servizio auth (113).
* secca/logga i marziani (dovrebbe gia` farlo il kernel, pero`).
* se vuoi logga i tentativi di stabilire nuove connessioni (INVALID,NEW).
* accetta le connessioni dirette sulle porte alte (1024:65535) il cui
stato sia RELATED,ESTABLISHED, tanto per TCP che per UDP.
* se vuoi sega un po` di icmp noiosi (occhio pero` che ICMP e` _bene_).
* accetta gli altri tipi ICMP.
* spargere in giro LOG a piacimento.
Enjoy,
--
(=---= albe...@libero.it =------------= PGP KeyID: 0x465BFD47 =--=)
) Davide Alberani (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)
InSa
Davide Alberani <albe...@libero.it> uscì senza ombrella e assaporando
le gocce cadere sulla sua faccia disse:
...disse: non esistono più le mezze stagioni... che tempo di me**a...
:)))
> Explicit Congestion Notification (rfc 2481).
> Se tra te e la destinazione ci sono router/firewall vecchi o
> mal configurati, la connessione non si instaura.
ok, lo avevo abilitato nel kernel, echo 0 /proc/sys/net/ipv4/tcp_ecn e
non funziona lo stesso. adesso sto ricompilando senza il supporto (può
essere una soluzione "giusta" o è una ca***ta?!?).
> Beh, tante righe, tanti problemi. :-)
> I firewall (come tutto) andrebbero resi semplici, per quanto
> possibile.
>
> Nello specifico: belle regole e sicuramente funziona bene, ma...
<cut>
ok, grazie, studierò un'altra soluzione (e la posterò per avere altri
consigli). Cmq il mio è un computer singolo (vabbe, fa il masquerating
per un'altro).
Grazie e ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
InSa
InSa <ins...@katamail.com> uscì senza ombrella e assaporando le gocce
cadere sulla sua faccia disse:
> ok, lo avevo abilitato nel kernel, echo 0 /proc/sys/net/ipv4/tcp_ecn e
> non funziona lo stesso. adesso sto ricompilando senza il supporto (può
> essere una soluzione "giusta" o è una ca***ta?!?).
funziona!!! grazie mille!!! :)))))))
(domanda: ma cosa serve l'ecn?!?)
adesso mi metto a studiare il firewall (anzi no, pranzo e poi inizio a
studiare :)) e poi posto il risultato.
Grazie ancora e ciao
Davide Alberani
> funziona!!! grazie mille!!! :)))))))
Che ho vinto?
Anche se lo hai compilato nel kernel, dovrebbe funzionare
disabilitandolo con: echo 0 > /proc/sys/net/ipv4/tcp_ecn
Mi sa che hai dimenticato la redirezione (o forse va fatto
_prima_ che l'interfaccia vada su, ma mi suona strano).
> (domanda: ma cosa serve l'ecn?!?)
Gestione delle congestioni. E` una estensione al TCP/IP relativamente
recente.
Vedi l'rfc ( le rfc le trovi qui: http://www.rfc-editor.org/ ) 2481
per dettagli.
> adesso mi metto a studiare il firewall
Non c'e` fretta. :-)
--
(=---= albe...@libero.it =------------= PGP KeyID: 0x465BFD47 =--=)
) Davide Alberani (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)
InSa
Davide Alberani <albe...@libero.it> uscì senza ombrella e assaporando
le gocce cadere sulla sua faccia disse:
> Beh, tante righe, tanti problemi. :-)
> I firewall (come tutto) andrebbero resi semplici, per quanto
> possibile.
ecco le nuove regole del mio firewall... (spero non siano ca**ate)
--------------------
#!/bin/bash
#
# file di configurazione di iptables
# Carico i moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_contrack_ftp
# Cancello tutte le precedenti configurazioni
iptables -F
iptables -X
iptables -Z
# Setto la politica delle catene a DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
IFACE="ppp0"
IFACE2="eth0"
# Cose utili
echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 /proc/sys/net/ipv4/conf/all/log_martial
# Protezione dal SYN-FLOODING
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
# Vieto i frammenti
iptables -A INPUT -i $IFACE -f -j DROP
iptables -A FORWARD -i $IFACE -f -j DROP
# Apro le connessioni in entrata
iptables -A INPUT -i $IFACE -m state --state ESTABLISHED,RELATED -j
ACCEPT iptables -A FORWARD -i $IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Apro le connessioni in uscita
iptables -A FORWARD -o $IFACE -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT iptables -A OUTPUT -o $IFACE -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
# Carico il modulo nat
modprobe iptables_nat
# Maschero i pacchetti in uscita
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
# Attivo l'IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Permetto qualsiasi traffico tra eth0
iptables -A INPUT -i $IFACE2 -j ACCEPT
iptables -A FORWARD -i $IFACE2 -j ACCEPT
iptables -A OUTPUT -o $IFACE2 -j ACCEPT
iptables -A FORWARD -o $IFACE2 -j ACCEPT
---------------------------------------------
un pò semplice ma dovrebbe funzionare, che ne dite?!?
Grazie e ciao
InSa
--
----------------------------------------
System powered by Debian GNU/Linux Woody
Kernel 2.4.17 on a Laptop
----------------------------------------
Giuseppe Sacco
> # Cose utili
> echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route
> echo 0 /proc/sys/net/ipv4/conf/all/accept_redirects
> echo 1 /proc/sys/net/ipv4/conf/all/log_martial
Credo che manchino i '>' prima del nome del file.
Ciao,
Giuseppe