masquerating

[Luva]

Ciao a tutti...
ho un problema legato al masq...
Quando mi connetto ad internet utilizzando il server linux tutto ok...
se provo a connettermi con il client nn riesce a risolvermi i nomi (funziona solo http://www.tiscali.it e niente altro, nemmeno mail.tiscali.it)
Se invece inserisco gli ip funziona tutto a meraviglia...
Il file resolv.conf contiene:

search http://www.tiscali.it
nameserver primo_server_dns_tiscali
nameserver secondo_server_dns_tiscali

Le regole del firewall iptables sono in questo script (che nn ho scritto io e quindi magari c'è qualche errore):

echo 1 > /proc/sys/net/ipv4/tcp_ecn
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 > $f
done

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done

#DDOS "protection"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Source address verification
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

#dns
echo -n "DNS... "
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 --sport 1024:65535 -j REJECT
echo " Done."

#icmp importanti
echo -n "ICMP... "
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type host-prohibited -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type network-prohibited -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type protocol-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type port-unreachable -j ACCEPT
echo " Done."
#blocca e logga tutto il resto!
echo -n "Blocking rules engaging... "
# logga solo le connessioni alle porte basse.
iptables -A INPUT -i ppp0 -p tcp -m limit --limit 20/minute --dport 0:1023 -j LOG --log-level notice

# fa cadere tutto il resto.
iptables -A INPUT -i ppp0 -p icmp -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -p tcp --syn --dport 1024:65535 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 0:65535 -j DROP
echo " Done."

#fai il router per winbug
echo -n "NAT..."
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
echo " Done."
exit 0

C'è qualcosa che mi sono dimenticato di fare secondo voi?

[texilee]

#dns
echo -n "DNS... "
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 --sport 1024:65535 -j REJECT
echo " Done."


questa è la parte che ti interessa...

adesso nn ne sono sicuro... ma prova a aggiungere

iptables -A INPUT -i ppp0 -p tcp --sport domain --dport 1024:65535 -j ACCEPT

facci sapere!

[Luva]

ho provato a mettere quello che mi hai detto ma nn cambia niente...
grazie cmq
ciao ciao

[Nicola]

prova ad usare solo la regola del masquerading levando le altre e aggiungine man mano per vedere qual'è quella che blocca. Comunque se vuoi ho un firewall che ho scritto prendendo cose da diverse parti e funziona perfettamente con la LAN; se vuoi ti posto il codice

Ciao

[Luva]

di quelle del dns nn so se il problema è dovuto alle regole....
se navigo dal server riesco a risolvere comodamente i nomi....
nn capisco a cosa sia dovuto questo problema...
windows l'ho settato correttamente: gateway predefinito e dns ho messo l'ip del server
x nicola: Postami pure il codice che dicevi
ciao e grazie

[Luva]

Tranqui...ho risolto...
in pratica:
quelle righe servono se si ha un dns locale...
nel caso nn lo si abbia, bisogna utilizzare i dns del provider
ciao

[texilee]

lanciando named hai dns in locale

[bonna1]

prova ad usare solo la regola del masquerading levando le altre e aggiungine man mano per vedere qual'è quella che blocca. Comunque se vuoi ho un firewall che ho scritto prendendo cose da diverse parti e funziona perfettamente con la LAN; se vuoi ti posto il codice

Ciao

se la tua offerta è ancora disponibile a me farebbe molto piacere!
ho cercato in rete ma ho trovato pochissime configurazioni gia confezionate!

[disgrazia]

E' un problema di dns.
Prova a togliere "search http://www.tiscali.it" da resolv.conf; aggiungi invece una riga "nameserver x.y.z.k" dove x.y.z.k è l'IP di un server DNS.
Per esempio usa 127.0.0.1 se hai bind che gira sulla stessa macchina; oppure il DNS del tuo ISP.

[disgrazia]

Sorry...non avevo notato che il problema era stato già risolto

[bonna1]

ho un problema simile! non riesco a fare il nat

io uso webmin perche sono un po alle prime armi.... mi potreste dare un aiutino??

vi posto il mio file di conf....

# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*nat
:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue Apr 6 07:33:49 2004
# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*mangle
REROUTING ACCEPT [17:1608]
:INPUT ACCEPT [17:1608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2576]
OSTROUTING ACCEPT [15:2576]
COMMIT
# Completed on Tue Apr 6 07:33:49 2004
# Generated by iptables-save v1.2.7a on Tue Apr 6 07:33:49 2004
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -i eth0 --dport 10000 -j ACCEPT
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accetta tutti ping
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
COMMIT
# Completed on Tue Apr 6 07:33:49 2004

qualcuno mi sa dire cosa devo inserire?? io ho gia provato a marre questa

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

sotto la sezione

*nat

ma non mi caricava piu iptable.... sono un po in alto mare!!! help!!!

[bonna1]

il problema di cui sopra è stato risolto......

[bonna1]

adesso avrei un'altro problemino..... di carattere teorico però....

dove posso trovare informazioni sul funzionamento di iptables??

insomma ho letto parecchie cose ultimamente ma non ho trovato quesi nessun riscontro con quello che il mio amato web min mi propone....
insomma queste sono le 3 pagine di configirazione di ip table

1- paket filter (che contiene i seguenti gruppi di regole)

Packets before routing (PREROUTING)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)

2- paket alteration (che contiene i seguenti gruppi di regole)

Packets before routing (PREROUTING)
Incoming packets (INPUT)
Forwarded packets (FORWARD)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)

3- network addres translatio (che contiene i seguenti gruppi di regole)
Packets before routing (PREROUTING)
Outgoing packets (OUTPUT)
Packets after routing (POSTROUTING)

nei vari manuali che ho letto al massimo venivano citate le le 3 regole della prima pagina....
le altre cosa sono?? e soprattutto che differenza pass tra, ad esempio , il postrouting dell 3 categorie??

spero possiate aiutarmi!