Re: [ml] Iptables e eth0:n

Il giorno 27/apr/06, alle ore 19:24, Edoardo Serra ha scritto:

> eth0 --> ippubblico1
> eth0:100  --> ippubblico2
> eth1 --> ipprivato
>
> La configurazione di iptables, (iptables -L -v) è la seguente  
> (riporto solo le regole secondo me più rilevanti)
>
> Chain INPUT (policy DROP 189 packets, 27146 bytes)
>  pkts bytes target     prot opt in     out     source                
> destination
>   979  121K ACCEPT     all  --  eth1   any     anywhere              
> anywhere
>  5630  854K ACCEPT     all  --  any    any     anywhere        
> anywhere            state ESTABLISHED
>     1    56 ACCEPT     all  --  any    any     anywhere        
> anywhere            state RELATED
>     0     0 ACCEPT     udp  --  any    any     anywhere        
> anywhere            udp spt:domain dpts:1024:65535
>     0     0 ACCEPT     tcp  --  any    any     IPAUTORIZZATO        
> anywhere            tcp dpt:ssh
>
> Ora, se dall'esterno origino una connessione ssh verso ippubblico1  
> va tutto bene, i pacchetti vengono droppati, ma se origino una  
> connessione verso ippubblico2 i pacchetti passano tranquillamente,  
> sia per ssh sia per tutti gli altri servizi che in teoria non  
> dovrebbero essere visti dal mondo esterno

Il drop su eth0 vale per tutti gli alias.
Provi a collegarti all'alias dall'ip autorizzato ? Se così fosse è  
normale che il traffico passi, visto che viene soddisfatto nella  
quinta regola.

iptables -A INPUT -i eth0 -s [ipautorizzato] -j ACCEPT
iptables -A INPUT -i eth0 -j DROP

In questo modo un ip non autorizzato, non può collegarsi all'alias,  
comunque ti consiglio per evitare di confoderti, di specificare la  
destinazione nelle regole
che riguardano gli alias, ad esempio :

iptables -A INPUT -i eth0 -d [ip alias eth0:0] -j DROP
iptables -A INPUT -i eth0 -s ! [ip autorizzato] -j DROP

In questo modo neanche l'ip autorizzato può collegarsi all'alias.

> Cosa ancora più strana, se elimino la regola 1 (quella che permette  
> le connessioni in ingresso su eth1) allora tutto funziona e anche  
> le connessioni verso ippubblico2 vengono droppate

Effettivamente la cosa è strana, prova a specificare l'indirizzo come  
scritto sopra, diversamente aggiornerei, son passati 2 anni da quella  
versione :)

> Sinceramente non riesco proprio a isolare il problema, sembrerebbe  
> un bug di iptables con l'aliasing eth0, ma non sono così  
> presuntuoso da escludere un probabile mio errore di configurazione.

Che purtroppo non ho avuto il piacere di visionare bene.

Salut.