Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

catena di forward e port forwardin

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
Caronte



Registrato: 23/06/15 16:17
Messaggi: 2

MessaggioInviato: Gio Lug 23, 2015 10:52 am    Oggetto: catena di forward e port forwardin Rispondi citando

Ciao a tutti,
non riesco a raggiungere un server web interno che ha come porta wan la 4848.
Ho configurato un virtual server che gira la 4848 verso il web server sulla porta 80.

Prima di impostare la catena di forward a DROP era tutto ok, suppongo di aver fatto qualche eresia nelle varie configurazioni.
Questa è l'attuale catena di forward:

1 ETH01 ETH02 ACCEPT tcp opt -- in ETH01 out ETH02 0.0.0.0/0 -> 192.168.xxx.xxx tcp spt:4848 yes
2 ETH01 * ACCEPT all opt -- in ETH01 out * xxx.xxx.xxx.xxx -> 0.0.0.0/0 no
3 ETH01 * ACCEPT all opt -- in ETH01 out * yyy.yyy.yyy.yyy -> 0.0.0.0/0 no
4 VPN00 ETH02 ACCEPT all opt -- in VPN00 out ETH02 0.0.0.0/0 -> 0.0.0.0/0 no
5 ETH02 VPN00 ACCEPT all opt -- in ETH02 out VPN00 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED no
6 ETH02 ETH01 ACCEPT all opt -- in ETH02 out ETH01 0.0.0.0/0 -> 0.0.0.0/0 no
7 ETH01 ETH02 ACCEPT all opt -- in ETH01 out ETH02 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED

La regola 1 è quella che dovrebbe consentire il passaggio dall'IP WAN:4848 (ETH01) alla LAN (ETH02) verso un IP interno
La cosa che non capisco, se vado a vedere i logo sono vuoti, quindi quella regola non viene proprio presa in considerazione.

Mi trovo in un punto morto.
Grazie in anticipo a tutti.ù
Ciao
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Gio Lug 23, 2015 8:16 pm    Oggetto: Rispondi citando

Nella prima regola, cambia sport 4848 con dport 80, la seconda e la terza, sicure che servano ??
Comunque, metterei la 7 al primo posto, e la 6 al secondo..... con la policy a drop, potresti 'velocizzare' ulteriormente il lookup, mettendo come prima regola un 'Accept, RELATED, ESTABLISHED' senza specificare le interfacce di in/out, e dichiarare succesivamente solo cio' che vuoi permettere e da dove, passato il primo pacchetto consentito (dalla regola 2 in avanti), il resto della sessione verrà forwardato direttamente dalla prima regola.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it