semplifichiamo iptables

[mafferri]

vorrei fare una lista di configurazioni di iptables per facilitarne l'apprendimento , perchè cmq io capisco meglio gli esempi -.-'
comincio io

Codice: Seleziona tutto

iptables -t nat -d 192.168.0.18 -I PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.122.107:22

reindirezzamento della porta 2222 dell'interfaccia 192.168.0.18 verso la 192.168.122.107 alla porta 22 nel mio caso sarebbe la una macchina virtuale


vorrei sapere come bloccare tutte le porte , ad eccezione di .....
altra cosa , una volta che le ho testate come le salvo nelle ipostazioni di default?

edit:
ora mi sa che utilizzo ebtables perchè cercavo di riavviare iptables e non lo trovato nei servizi

[conoscenza]

Se vuoi usare un reindirizzamento hai modificato in /etc/etter.conf le stringhe riguardanti iptables?

Hai dato:

Codice: Seleziona tutto

echo 1 > /proc/sys/net/ipv4/ip_forward

?

credo che con il comando che hai dato tu reindirizzi già una porta, mentre escludi le altre... ma potrei sbagliare!

[mafferri]

si quel comando l'ho dato

Ora non mi dire parole :P, cmq non sono riuscito a capire come avviare in automatico uno script che ho inserito in /etc/init.d contenente

Codice: Seleziona tutto

#! bash
IPTAB=/sbin/iptables
$IPTAB -F FORWARD
$IPTAB -t nat -d 192.168.0.18 -A PREROUTING -p tcp --dport 52101 -j DNAT --to-destination 192.168.122.4:8888
$IPTAB -t nat -d 192.168.0.18 -A PREROUTING -p tcp --dport 52100 -j DNAT --to-destination 192.168.122.4:52100
$IPTAB -t nat -d 192.168.0.18 -A PREROUTING -p tcp --dport 54100 -j DNAT --to-destination 192.168.122.4:54100
$IPTAB -t nat -d 192.168.0.18 -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.122.250:3389

exit 0

percui per ovviare il problema al momento l'ho inserito dentro /etc/rc.local
la cosa strana è che se prima non cancello tutte le regole per il forward (iptables -F FORWARD) il reindirizzamento non funziona.
Altra cosa , nelle regole di sopra vorrei cambiare l'indirizzo di ingresso (-d 192.168.0.18) con l'interfaccia di rete eth0 in questo caso ma non ho capito come farlo

[conoscenza]

Qual è la parte di quello script che non ti è chiaro?

Per definire un'interfaccia prova a vedere "man iptalbes", dovrebbe esserci -i ...se non ricordo male!

Fammi sapere che se mai verifico!

[mafferri]

lo script non vuole avviarsi da /etc/init.d/ip.sh percui l'ho incorporato dentro rc.local ho dettos olo quello capito come funziona.

Ora vorrei sapere se è semplice dare come regola dall'interfaccia reale , blocca tutte le porte all'infuori di ...

[dino]

Per fare quello che vuoi fare devi prima bloccare tutte le porte e poi aprire quelle che ti servono. Più o meno in questo modo:

Codice: Seleziona tutto

## Per default chiude tutti gli ingressi
iptables -P INPUT DROP
## Accetta connessioni TCP in ingresso dall'interfaccia eth0 sulle porte 22 (SSH) e 80 (web)
iptables -A INPUT -i eth0 -p tcp --dport 22:80 -j ACCEPT

[mafferri]

Grazie dino , una curiosità , ma se io sono connesso tramite ssh , non'è che mi chiude la connessione?

edit:
mi blocca tutte le connessioni anche in uscita però ,
nel senso per vedere le porte aperte mi serviva nmap , e ho fatto apt-get install nmap , ma poi i dava errore dicendomi che non riusciva a scaricare il pacchetto

[conoscenza]

ssh di default usa la porta 22. aprila.

Sei sicuro che è in uscita che ti blocca?
Forse è in ingresso, ...che non scarica, la problematica....

[dino]

Se usi SSH, ad ogni modo, ti conviene utilizzare una porta non standard per default. Mi pare che conoscenza lo aveva scritto in una serie di consigli, giusto?

[mafferri]

certo dino , al momento quella porta non'è raggiungibile dall'esterno , è normale che non utilizzerò la porta standard.

conoscenza si può essere perchè cmq non ho seguito proprio tutto ciò che mi ha scritto dino , la porta 80 non l'avevo aperta in ricezione dici che può essere quello?