[ml] Iptables e eth0:n

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2006 ml@sikurezza.org
Soggetto: [ml] Iptables e eth0:n
Mittente: Edoardo Serra
Data: Thu, 27 Apr 2006 19:22:15 +0200 (CEST)

Buongiorno a tutti, ho un problema con la configurazione di un iptables che non riesco a risolvere in alcun modo. Non voglio aver la presunzione di aver trovato un bug in iptables, ma per ora non riesco a trovare altra motivazione.

Mi sono trovato ad ereditare l'amministrazione di un server linux installato e configurato da terzi

Linux host 2.6.9-5.0.3.ELsmp #1 SMP Sat Feb 19 19:38:02 CST 2005 i686 i686 i386 GNU/Linux Distribuzione CentOS release 4.0 (Final) iptables v1.2.11 (CentOS non ha rilasciato updates)

Questo server ha due schede di rete di cui una con 2 ip pubblici connessa a internet e una con un IP privato connesso alla LAN eth0 --> ippubblico1 eth0:100 --> ippubblico2 eth1 --> ipprivato

La configurazione di iptables, (iptables -L -v) è la seguente (riporto solo le regole secondo me più rilevanti)

Chain INPUT (policy DROP 189 packets, 27146 bytes) pkts bytes target prot opt in out source destination 979 121K ACCEPT all -- eth1 any anywhere anywhere 5630 854K ACCEPT all -- any any anywhere anywhere state ESTABLISHED 1 56 ACCEPT all -- any any anywhere anywhere state RELATED 0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain dpts:1024:65535 0 0 ACCEPT tcp -- any any IPAUTORIZZATO anywhere tcp dpt:ssh

Tutte le connessioni in ingresso da eth1 devono essere accettate e ssh solo da alcuni IP Ho omesso altre regole simili, alcuni ip accedono ad alcuni altri servizi....

Esiste poi una regola nella table nat che non credo causi i nostri problemi, ma, data la stranezza del bug, la riporto.

# iptables -L -v -t nat Chain POSTROUTING (policy ACCEPT 127 packets, 9122 bytes) pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- any eth0 172.16.1.0/24 anywhere

Ora, se dall'esterno origino una connessione ssh verso ippubblico1 va tutto bene, i pacchetti vengono droppati, ma se origino una connessione verso ippubblico2 i pacchetti passano tranquillamente, sia per ssh sia per tutti gli altri servizi che in teoria non dovrebbero essere visti dal mondo esterno

Cosa ancora più strana, se elimino la regola 1 (quella che permette le connessioni in ingresso su eth1) allora tutto funziona e anche le connessioni verso ippubblico2 vengono droppate

Sinceramente non riesco proprio a isolare il problema, sembrerebbe un bug di iptables con l'aliasing eth0, ma non sono così presuntuoso da escludere un probabile mio errore di configurazione.

Grazie dell'attenzione ;)

Cordiali saluti


Edoardo Serra
WeBRainstorm S.r.l.
IT, Internet services & consulting
Via Pio Foà 83/C
10126 Torino
Tel: +39 011 6966881

Messaggi successivi:
- Re: [ml] Iptables e eth0:n, Elettrico
- Re: [ml] Iptables e eth0:n, Paolo Ripamonti
- Re: [ml] Iptables e eth0:n, Fabio A. Favia
- Re: [ml] Iptables e eth0:n, Alessandro Sappia
- Re: [ml] Iptables e eth0:n, aspinall
- Re: [ml] Iptables e eth0:n, Skull

Data:
- precedente: Re: [ml] postepay (was: Sicurezza pagamenti online), Paolo Bratti
- successivo: [ml] Unidata S.p.A. - Offerta di lavoro, Stefano Coletta
- indice

Argomento:
- precedente: R: [ml] Radius WIndows, Andrea Bensi
- successivo: Re: [ml] Iptables e eth0:n, Skull
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005