Marco Gaiarin writes:
[...]
>> la cosa non funziona.
>
> ip_forward per l'interfaccia è abilitato?
>
> root@vfwlpb1:~# cat /proc/sys/net/ipv4/conf/ppp1/forwarding
> 1
>
> sostituisci 'ppp1' alla tua interfaccia.
Sì, è abilitato:
cat /proc/sys/net/ipv4/conf/Flug/forwarding
1
--
Mandi! Leandro Noferini
In chel di` si favelave...
> la cosa non funziona.
ip_forward per l'interfaccia è abilitato?
root@vfwlpb1:~# cat /proc/sys/net/ipv4/conf/ppp1/forwarding
1
sostituisci 'ppp1' alla tua interfaccia.
--
Ciao a tutt*
ho una vps che mi gira alcune porte su un server attraverso una vpn
(wireguard) così da risultare come se il server fosse su un ip statico
non residenziale. Per fare la redirezione uso alcune regole di iptables
create al momento che si avvia la vpn, più o meno così:
iptables -A
Il 26-03-2024 08:25 Piviul ha scritto:
non è che ne sappia un gran che ma per curiosità ci mandi l'output di:
# update-alternatives --list iptables
Era un problema di kernel.
Non ho capito perchè, l'ultimo stabile, mi dava quel problema.
Gli ho installato il 6.5 di bpo, e tutto è
On 3/25/24 17:08, Paride Desimone wrote:
Il 25-03-2024 10:39 Piviul ha scritto:
Comunque al di là dei miei dubbi se fossi in te partirei da qua:
https://wiki.debian.org/iptables
In bocca al lupo
Già fatto, ma non cambia nulla. La cosa che mi lascia più perplesso è
il fatto che la
Il 25-03-2024 10:39 Piviul ha scritto:
Comunque al di là dei miei dubbi se fossi in te partirei da qua:
https://wiki.debian.org/iptables
In bocca al lupo
Già fatto, ma non cambia nulla. La cosa che mi lascia più perplesso è il
fatto che la macchina nasce direttamente con bookworm su cui
rifiutava le connessioni.
ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava
funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not
supported.
Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare ebtables, ho
provato ad installa
utava le connessioni.
>> ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi stava
>> funzionando, dandomi uesto errore: Failed to initialize nft: Protocol not
>> supported.
>> Ho provato a disinstallarlo e reinstallarlo. Ho provato ad installare
&
On 3/22/24 09:15, Paride Desimone wrote:
Buongiorno a tutti.
Ieri sera ho installato su una macchina pivpn.
Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di
diceva che il server mi rifiutava le connessioni.
ho provato a tirar giu' iptables, ed ho scoperto che iptables n
Buongiorno a tutti.
Ieri sera ho installato su una macchina pivpn.
Ho Configurato tutto, ho aperto le porte sul router, ma il clinet di
diceva che il server mi rifiutava le connessioni.
ho provato a tirar giu' iptables, ed ho scoperto che iptables non mi
stava funzionando, dandomi uesto e
Leonardo Boselli ha scritto:
> Dope messo fail2ban
[...]
> e nel log ho trovato anche:
>
> Feb 04 18:08:58 h7136 sshd[1562780]: fatal: Timeout before authentication
> for 180.101.88.224 port 33843
>
> peerché un timeout da una macchina [che averebbe pure dovutop essere
> bannata] appare come
Mandi! Leonardo Boselli
In chel di` si favelave...
> Dope messo fail2ban vedo che da una certa sottortete arrivano la
> generalità degli attacchi quindi ho aggiunto una regola: ma iptables mi
'aggiunto' in che senso? Hai aggiunto una rule di fail2ban, o hai fatto
prop
Il 05/02/2024 09:08, Giuseppe Sacco ha scritto:
Ciao Leonardo,
Il giorno dom, 04/02/2024 alle 18.13 +0100, Leonardo Boselli ha scritto:
[...]
e quello che arriva da 180.101.88.0/21 continuo a trovarmelo nel log,
forse perché la regola è finita dopo il return.
come faccio a spostarla in modo che
Ciao Leonardo,
Il giorno dom, 04/02/2024 alle 18.13 +0100, Leonardo Boselli ha scritto:
> [...]
> e quello che arriva da 180.101.88.0/21 continuo a trovarmelo nel log,
> forse perché la regola è finita dopo il return.
> come faccio a spostarla in modo che da quella rete ci sia sempre un reject
>
Dope messo fail2ban vedo che da una certa sottortete arrivano la
generalità degli attacchi quindi ho aggiunto una regola: ma iptables mi
mostra:
root@h7136:/etc/fail2ban# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-sshd 6-- 0.0.0.0
On 26/10/16 18:51, Pol Hallen wrote:
'sera a tutti :-)
una situazione comune:
eth0 192.168.1/24
eth1 192.168.2/24
attualmente ho:
iptables -A FORWARD -s 10.192.168.2/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2/24
-j ACCEPT
e così anche per
'sera a tutti :-)
una situazione comune:
eth0 192.168.1/24
eth1 192.168.2/24
attualmente ho:
iptables -A FORWARD -s 10.192.168.2/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2/24
-j ACCEPT
e così anche per eth0
così eth0 e eth1 si vedono (e
o con IP statico e pubblico
eth1 --> interfaccia sulla lan $INTIF IP statico classe c 192.168.2.0/24
su eth1 monto eth1:0 che e' il gateway della LAN
eth3 --> interfaccia in DMZIF IP statico classe c 192.168.200.0/24
se io imposto una regola di questo tipo
/sbin/iptables -N NOSPOOF
$IPT -
Il 02/03/2016 13:40, Mario Vittorio Guenzi ha scritto:
Buongiorno a tutti,
ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che
fanno da firewall gateway ognuna su una linea diversa(ovviamente).
Le 2 macchine hanno IP interno rispettivamente
perseo 192.168.2.240
sangiorgio 192.1
Buongiorno a tutti,
ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che
fanno da firewall gateway ognuna su una linea diversa(ovviamente).
Le 2 macchine hanno IP interno rispettivamente
perseo 192.168.2.240
sangiorgio 192.168.2.237
sulle due gira heartbeat che alza il 192.168.2.2
Buongiorno a tutti
volevo un chiarimento, leggendo la documentazione del pacchetto ppp, ho
creato uno script in /etc/ppp e l'ho nominato ip-pre-up
p.s. Nella directory /etc/ppp il file ip-pre-up non esisteva , l'ho creato
ex-novo
Creato lo script iptables , ho reso lo script
Il giorno 8 gennaio 2015 21:07, Giulio Turetta ha
scritto:
> o usare il port-knocking¹?
Bello questo, non lo conoscevo
Grazie a tutti dei suggerimenti, intanto cambio le porte di dft e poi mi
studio sto port-knocking.
Ciao
--
Riccardo Brazzale
Mauro
> Il giorno 08/gen/2015, alle ore 23:22, dea ha scritto:
>
> Praticamente solo gli indirizzi che risolvono come da elenco, hanno accesso
> alla 22.
Permettetemi, ma visto che il trucco funzia, tanto vale usarlo:
Premettendo che il tentativo di accedere alla porta 22 e' per lo più condo
re la 22 aperta),
ormai da tempo uso questo sistema:
1) Le macchine autorizzate alla connessione sulla porta 22 dei server hanno
montato un demone che aggiorna una entry dns dinamico.
2) Sui server, uno script in cron risolve l'IP delle entry ed abilita la porta
22 via iptables a quegli ip.
P
On 08/01/2015 21:07, Giulio Turetta wrote:
Forse dico una cosa scontata.
Non usare la porta di default o usare il port-knocking¹?
sì ottima scelta :-)
magari usare anche una coppia di chiavi con password, così aumenti la
sicurezza e lasci fuori tutti i non autorizzati
On 08/01/2015 20:52,
Forse dico una cosa scontata.
Non usare la porta di default o usare il port-knocking¹?
Potrebbe essere più efficace.
Personalmente non lascio mai la porta di default per SSH: questo non ti
protegge da un attacco diretto ma ti protegge dal "rumore di fondo"
dello scan-and-try massivo.
Il port-knock
Il giorno 8 gennaio 2015 19:58, Davide Prina ha
scritto:
> ora non so che sito web o servizio metti a disposizione, ma così escludi
> tutti quelli che usano tor o simile, non mi sembra una bella cosa.
Ciao Davide,
E' ssh, ritengo che le password siano massicce ma mi rompe vedere continue
mail
On 07/01/2015 12:17, Riccardo Brazzale wrote:
Vi chiedo se conoscete un modo per far si che le connessioni vengano
accettate solo per IP Italiani o al massimo Europei, tanto per limitare
l'accesso ai paesi che non mi interessano.
ora non so che sito web o servizio metti a disposizione, ma così
Il giorno 7 gennaio 2015 17:29, Simone Rossetto ha
scritto:
> Non so quanto siano affidabili o complete, ma ci sono liste degli IP
> assegnati a provider italiani
Grazie!
Vedo cosa riesco a fare.
--
Riccardo Brazzale
Ciao Riccardo
Vi chiedo se conoscete un modo per far si che le connessioni vengano
> accettate solo per IP Italiani o al massimo Europei, tanto per limitare
> l'accesso ai paesi che non mi interessano.
>
Non so quanto siano affidabili o complete, ma ci sono liste degli IP
assegnati a provider ita
Ciao a tutti,
mi ritrovo (credo come molti) un sacco di ip bannati da fail2ban.
Analizzando questi indirizzi, mi accorgo che la maggior parte arriva da
Cina, Hong Kong, Sud America, qualcosa dal Nord America, un po da Romania e
Russia.
Vi chiedo se conoscete un modo per far si che le connessioni
e chiudere tutto
il resto... qualche cosa tipo:
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0
list_etc/blacklistdroprule.txt"
> BLOCKLIST_URL="http://lists.blocklist.de/lists/all.txt";
>> $DROPRULE
> wget $BLOCKLIST_URL -O $BLACKFILE
> if [ $? -eq 0 ]
> then
> for blkip in `cat $BLACKFILE`; do
> echo "ACCESSO NEGATO A: $blkip"
> /sbin
t.txt"
DROPRULE="/root/blacklist_etc/blacklistdroprule.txt"
BLOCKLIST_URL="http://lists.blocklist.de/lists/all.txt";
> $DROPRULE
wget $BLOCKLIST_URL -O $BLACKFILE
if [ $? -eq 0 ]
then
for blkip in `cat $BLACKFILE`; do
echo "ACCESSO NEGATO A: $blkip"
ect-with icmp-proto-unreachable
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "[iptables] INPUT Drop: "
--log-level 7
--
Gabriele Ficarelli - Jon
GPG: A5D862D7
pgpnRtVcWEptO.pgp
Description: OpenPGP digital signature
porta non
standard ma imho è superfluo, ok avrai iptables e fail2ban che lavorano di più,
ma è ok, imho.
> iptables --flush
> iptables --delete-chain
ci sono anche -F e -X al posto di questi comandi lunghissimi :P
> iptables -P INPUT DROP
io sono sempre stato dell'idea che è meglio dr
cosa tipo:
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -p tcp
Il 09/11/2014 09:24, Beppe Cantanna ha scritto:
> ciao,
> la ps3 non ha anche una wlan? sei riuscito a fare la stessa cosa anche
> con il wireless?
>
no, non ho provato con la wlan. mi era comodo col cavo.
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lis
onare la connessione lan e
> abilitare i server multimediali)
>
> 3. impostare la regola iptables
> #iptables -A INPUT -s 10.42.0.0/24 -i eth0 -p tcp --dport 1070 -j ACCEPT
> (dove 10.42.0.0/24 è la sottorete cui è collegata la ps3;
> 1070 è la porta impostata manualmente nel file ~/.
al pc con cavo rj45 "incrociato"
(ovviamente nelle impostazioni di rete selezionare la connessione lan e
abilitare i server multimediali)
3. impostare la regola iptables
#iptables -A INPUT -s 10.42.0.0/24 -i eth0 -p tcp --dport 1070 -j ACCEPT
(dove 10.42.0.0/24 è la sottorete cui è colleg
Il 06/11/2014 14:39, Mauro ha scritto:
>
>
> Inviato da iPad
>
>> Il giorno 06/nov/2014, alle ore 14:30, "tar...@aruba.it"
>> ha scritto:
>>
>> per la connessione tutto ok.
>> per i file ho attivato rygel e la regola iptables
>> -A
Inviato da iPad
> Il giorno 06/nov/2014, alle ore 14:30, "tar...@aruba.it" ha
> scritto:
>
> per la connessione tutto ok.
> per i file ho attivato rygel e la regola iptables
> -A INPUT -s 10.42.0.0/24 -i eth0 -j ACCEPT
>
> non è un po' troppo permiss
salve a tutti.
ho collegato la ps3 al pc per condividere la connessione e i file
multimediali.
per la connessione tutto ok.
per i file ho attivato rygel e la regola iptables
-A INPUT -s 10.42.0.0/24 -i eth0 -j ACCEPT
non è un po' troppo permissiva? è meglio aggiungere qualche limite?
-
rete automaticamente il firewall permette al nuovo
IP di accedere.
Una volta facevo la stessa cosa in Linux usando uno script davvero semplice
messo in cron stretto.
Magari esiste qualcosa di fatto meglio, un demone ben fatto che vada ad
alterare le regole IPTables in ragione opportuna in seguito alla risolu
> invito personale di krfb
> > come faccio ad impostare la regola per la connessione remota?
> > grazie
>
> iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
>
>
> Walter
>
>
perfetto, funziona. grazie mille.
ps
esiste qualche interfaccia grafica decente
>
> sto cercando di far connettere due macchine per condividere il desktop.
> pc locale:
> connessione con krdc
> ps remoto:
> invito personale di krfb
> credo che il problema sia nelle regole iptables dell'host
> :INPUT DROP
> :FORWARD DROP
> :OUTPUT ACCEPT
debian stable 64bit kde
sto cercando di far connettere due macchine per condividere il desktop.
pc locale:
connessione con krdc
ps remoto:
invito personale di krfb
credo che il problema sia nelle regole iptables dell'host
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m state --state RE
Controlla che:
* le netmask siano delle dimensioni corrette su ogni interfaccia
* le subnet sui vari tronconi non siano sovrapposte
Non sembra molto un problema di iptables, quanto più che altro di
routing.
Ciao, Luca
--
.''`. | ~<[ Luca BRUNO ~ (kaeso) ]>
>
>> Stiamo provando a vedere se si riesce a fare una rete
> "multilivello".
>> In pratica tre reti con due router.
>> Ho dovuto aggiungere nei namespace dei router, i default router, ma questo
> non
>> risolve il problema.
>>
>> rete1 -- routerA -- rete2 -- router B -- rete3
>> In pra
> Stiamo provando a vedere se si riesce a fare una rete "multilivello".
> In pratica tre reti con due router.
> Ho dovuto aggiungere nei namespace dei router, i default router, ma questo
> non
> risolve il problema.
>
> rete1 -- routerA -- rete2 -- router B -- rete3
> In pratica della re
- Messaggio originale -
> Da: Gian Uberto Lauri
> A: dea ; debian-italian
> Cc:
> Inviato: Mercoledì 12 Marzo 2014 14:06
> Oggetto: Re: Tracciare pacchetti attraverso iptables
>
> Walter Valenti writes:
>
>> Sì. Purtroppo le regole non le scriviamo no
Walter Valenti writes:
> Sì. Purtroppo le regole non le scriviamo noi a mano, ma il
> meccanismo di networking
Che problema avete?
--
/\ ___Ubuntu: ancient
/___/\_|_|\_|__|___Gian Uberto Lauri_ African word
//--\| | \| | I
>
>> Qualcuno sa se esiste un meccanismo, per tracciare
>> quali catene di iptables attraversa un pacchetto ?
>>
>> Grazie
>> Walter
>
>Ciao Walter
>
>Io uso come debug, quando mi serve, la direttiva TRACE (-j TRACE)
>Ti trovi in /var/log/syslog
Il Wed, 12 Mar 2014 12:11:47 + (GMT), Walter Valenti scrisse
> Qualcuno sa se esiste un meccanismo, per tracciare
> quali catene di iptables attraversa un pacchetto ?
>
> Grazie
> Walter
Ciao Walter
Io uso come debug, quando mi serve, la direttiva TRACE (-j TRACE)
Ti tro
Qualcuno sa se esiste un meccanismo, per tracciare
quali catene di iptables attraversa un pacchetto ?
Grazie
Walter
--
Per favore non inviatemi allegati in formato MS Office.
Utilizza alternativamente documenti in formato OpenDocument.
http://oinophilos.blogspot.com/
Walter Valenti writes:
>
>
> Cercando in giro per il web sembrerebbe che tcpdump
> (o meglio libpcap) si pone la scheda fisica e iptables.
> Quindi qualunque pacchetto in INGRESSO sulla macchina può
>
> essere sniffato, indipendentemente dalle regole di iptables.
&
On 12/11/2013 12:49, Walter Valenti wrote:
> Cercando in giro per il web sembrerebbe che tcpdump
> (o meglio libpcap) si pone la scheda fisica e iptables.
> Quindi qualunque pacchetto in INGRESSO sulla macchina può
>
> essere sniffato, indipendentemente dalle regole di iptables.
&
Cercando in giro per il web sembrerebbe che tcpdump
(o meglio libpcap) si pone la scheda fisica e iptables.
Quindi qualunque pacchetto in INGRESSO sulla macchina può
essere sniffato, indipendentemente dalle regole di iptables.
Sto capendo male io?
Walter
--
Per favore non
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Il 07/10/2013 17:31, Pol Hallen ha scritto:
> e quando cerco di leggere i log del server ho chilometri e
> chilometri dei log di iptables...
>
> potrei (e chiedo conferma) specificare un nuovo file di log di
> iptables e fare legg
Il giorno 07/ott/2013, alle ore 17:31, Pol Hallen ha
scritto:
> usando psad (devo per forza abilitare i log di iptables):
>
> iptables -A INPUT -j LOG
> iptables -A FORWARD -j LOG
>
> potrei (e chiedo conferma) specificare un nuovo file di log di iptables e
> fare
'sera a tutti :-)
usando psad (devo per forza abilitare i log di iptables):
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
psad (ovviamente) verifica in base ai quei log i tentativi di intrusione...
il problema è che me li ritrovo in /var/log/messages
e quando cerco di leggere i lo
'giorno a tutti :-)
qualcuno ha provato o sta usando pf su debian? Volevo "migrare" iptables a pf
(mi serve per "allenarmi" su delle macchine con FreeBSD).
grazie per l'aiuto :-)
Pol
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-i
>> -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT
> Mmmm... questa ha senso utilizzarla o per UDP, o per le connessioni TCP
> ma su stato 'NEW', altrimenti rischi di stallare ssh come niente...
i FW non sono la mia specialità :D
si in realtà manca qualche pezzo tipo:
--tcp-flags S
Mandi! Liga
In chel di` si favelave...
> -A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT
Mmmm... questa ha senso utilizzarla o per UDP, o per le connessioni TCP
ma su stato 'NEW', altrimenti rischi di stallare ssh come niente...
> -A INPUT -p tcp --dport 22 -m conntrack --ctst
ciao,
sono un po confuso da conntrack e limit, da quanto ho capito (non sono
un guru di iptables) le stesse cose si possono avere con entrambi i moduli.
in questo esempio:
-A INPUT -p tcp --dport 22 -m limit --limit 5/sec -j ACCEPT
-A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
e del kernel da
> te installato manualmente e di versione successiva alla 2.6 (immagino
> una versione 3.x). Il programma per la gestione del firewall da linea
> di comando è infatti lo stesso (/sbin/iptables) che usi con il kernel
> rilasciato di default con squeeze.
E' pass
versione 3.x). Il programma per la gestione del firewall da linea
di comando è infatti lo stesso (/sbin/iptables) che usi con il kernel
rilasciato di default con squeeze.
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto "unsubsc
> Qualcuno sà consigliarmi una gui facile da usare per impostare iptables?
> Grazie.
> --
> Diego Russo
Ciao Diego
Ce ne sono a decine, ma se hai bisogno di usare iptables ti consiglio di
usarlo in shell e di studiarti un po di man.
Penso che iptables sia da usare in shell perchè
In data martedì 13 marzo 2012 14:25:40, Diego Russo ha scritto:
> Un saluto a tutti,
> Ho testing e con qualsiasi kernel superiore al 2.6.39-2 iptables non mi
> "carica" le regole.
> Guarddog mi dà questo errore :
> "ERRORE: non riesco a determinare il coman
questo punto: che differenza c'è tra i client e la lan?
> sorry per la notifica di lettura (disattivata)
No problem.
> Io metterei:
> iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY
> poi le autorizzazioni by mac address
> che dici?
> PS: questa regola però mi blocca
L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso
internet), acconsentire quello della lan in ogni caso.
Permettere (specificando mac address) i client desiderati
sorry per la notifica di lettura (disattivata)
Io metterei:
iptables -A FORWARD -s 192.168.1.0/
Il giorno Mar 13 Mar 2012 14:45:21 CET, Pol Hallen ha scritto:
[...]
> Potrebbe essere sufficiente modificare queste regole impostando un DENY
> anzichè
> un ACCEPT?
> iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT
Sì, ma occhio all'ordine. Se metti in testa questa in
'giorno a tutti :-)
il mio attuale firewall consiste in questo:
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -A INPUT -f -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptabl
Un saluto a tutti,
Ho testing e con qualsiasi kernel superiore al 2.6.39-2 iptables non mi
"carica" le regole.
Guarddog mi dà questo errore :
"ERRORE: non riesco a determinare il comando di firewall! (E' installato
ipchains o iptables?)"
Eppure iptables è installlato e p
>On 13/01/12 15:16, Premoli, Roberto wrote:
>>> Destination = 172.16.0.4
>>> > Gateway = *
>>> > Genmask = 255.255.255.255
>>> > Flags= UH
>>> > Metric = 0
>>> > Ref = 0
>>> > Use = 0
>>> > Ifa
On 13/01/12 15:16, Premoli, Roberto wrote:
Destination = 172.16.0.4
> Gateway = *
> Genmask = 255.255.255.255
> Flags = UH
> Metric= 0
> Ref = 0
> Use = 0
> Iface =
> Destination = 172.16.0.4
> Gateway = *
> Genmask = 255.255.255.255
> Flags = UH
> Metric= 0
> Ref = 0
> Use = 0
> Iface = ppp0
Forse mi ripeto ma... e la route di default?!
#
On 13/01/12 14:15, Premoli, Roberto wrote:
On Fri, 13 Jan 2012, Premoli, Roberto wrote:
>> I comandi di iptables li ritengo giusti, perche se provo con due schede
>> di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in
>> internet senza problemi, ma
6.0.5 Mask:255.255.255.255
UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
Ora, io vorrei permettere a B di navigare in internet tramite A.
Ho usato questi comandi:
iptables -F -t nat
iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -j MASQUERADE
echo 1> /proc/sys/net/ipv4/ip
Il 13/01/2012 14:15, Premoli, Roberto ha scritto:
La macchina B ha la porta ppp0 con IP 172.16.0.5
Qui di seguito il risultato del comando route sulla macchina B
Destination = 172.16.0.4
Gateway = *
Genmask = 255.255.255.255
Flags = UH
Metric
>On Fri, 13 Jan 2012, Premoli, Roberto wrote:
>> I comandi di iptables li ritengo giusti, perche se provo con due schede
>> di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in
>> internet senza problemi, ma quando uso il cavo seriale, no.
>> Quindi
On Fri, 13 Jan 2012, Premoli, Roberto wrote:
> I comandi di iptables li ritengo giusti, perche se provo con due schede
> di rete pcmpcia (configurate con gli stessi indirizzi), allora B va in
> internet senza problemi, ma quando uso il cavo seriale, no.
> Quindi credo il proble
UP POINTTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
Ora, io vorrei permettere a B di navigare in internet tramite A.
Ho usato questi comandi:
iptables -F -t nat
iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
I file /etc/resolv.c
ciao,
ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma
non riesco a implementare il TARPIT:
Il target TARPIT non è di default su iptables (mi pare sia un modulo
sperimentale), quindi va installato a parte. Fa parte del
On Wed, Nov 16, 2011 at 13:16, Liga wrote:
> ciao,
> ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma
> non riesco a implementare il TARPIT:
Il target TARPIT non è di default su iptables (mi pare sia un modulo
sperimentale), quindi va installato a parte. Fa
rights.
# Tags: IP address
# number of failures
# unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban- 1 -s -j DROP
#actionban = iptables -I fail2ban- 1 -s -j TARPIT
questa viene espansa in:
# iptables -D fail2ban-mailserver -s IP.x.x.x -j TARPIT
iptables: No
rights.
# Tags: IP address
# number of failures
# unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban- 1 -s -j
DROP
#actionban = iptables -I fail2ban- 1 -s -j
TARPIT
Avete qualche consiglio
> iptables -A FORWARD -d domain.com -j DROP
> iiptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP
>
> e aggiungere
>
> -m owner --uid-owner user
perchè fai riferimento al canale di forward ? La macchina Linux è una "NAT
box" ? No, genera lei il traffico (a quanto ho cap
criminare l'outgoing di un processo di
> un singolo utente, non dovrebbe essere difficile modificarla per
> adattarla, la puoi postare ?
qualcosa tipo:
iptables -A FORWARD -d domain.com -j DROP
iiptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP
e aggiungere
-m owner --uid-owner user
Pol
On Fri, 22 Jul 2011 13:57:40 +0200, Pol Hallen
wrote:
> stavo cercando online una regola di iptables che permetta di negare
> l'accesso a determinati ip solo ad un utente del sistema.
Una cosa tipo
iptables -A OUTPUT -m owner --uid-owner ID_UTENTE -d IP_ADDRESS -j DROP
--
Fabtizi
>Ho trovato come bloccare in modo permanente un singolo utente, ma per quanto
>riguarda negargli alcuni ip no..
Giorno Pol.
Tu vuoi bloccare il traffico di outgoing verso alcuni IP, traffico fatto non
dalla macchina in generale ma da processi relativi ad un particolare utente di
quella macchina
'giorno a tutti :-)
stavo cercando online una regola di iptables che permetta di negare l'accesso
a determinati ip solo ad un utente del sistema.
Ho trovato come bloccare in modo permanente un singolo utente, ma per quanto
riguarda negargli alcuni ip no..
(per motivi che non s
2011/6/29 Liga :
> ciao,
> ho configurato una vpn con nat per vedere la mia rete interna:
>
> -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
>
> a questo punto tutto quello che viene dalla vpn esce con l'ip del server
> openvpn sulla mia rete.
> normale?
> non è possibile farlo uscire con un
ciao,
ho configurato una vpn con nat per vedere la mia rete interna:
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
a questo punto tutto quello che viene dalla vpn esce con l'ip del server
openvpn sulla mia rete.
normale?
non è possibile farlo uscire con un ip differente? tipo il 10.10.10.
On 10/02/11 16:36, dea wrote:
>
> si, certo Federico.
>
> Era solo per dire che il server SMTP riesce (a prescindere dalla regola) a
> raggiungere correttamente il proxy trasparente SMTP.
> Non volevo dire che entra gioco la regola inserita, così facendo.
Ma allora qual'è la domanda, scusa? In c
On 10/02/11 16:06, dea wrote:
> iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport 25 -s IPOKPERFORWARD -j
> DNAT --to IPPROXYSMTP:PORTPROXYSMTP
>
> ovviamente non funziona.
>
> :)
>
> Se dall'smtp contatto il proxy (un banale telnet sulla porta proxysmtp):
si, certo Federico.
Era solo per dire che il server SMTP riesce (a prescindere dalla regola) a
raggiungere correttamente il proxy trasparente SMTP.
Non volevo dire che entra gioco la regola inserita, così facendo.
Mi sono espresso male :)
Naturalmente vorrei che una macchina con IP specificato,
On 10/02/11 16:06, dea wrote:
> iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport 25 -s IPOKPERFORWARD -j
> DNAT --to IPPROXYSMTP:PORTPROXYSMTP
>
> ovviamente non funziona.
>
> :)
>
> Se dall'smtp contatto il proxy (un banale telnet sulla porta proxysmtp):
ente senza ricorrere al proxy.
Vorrei non toccare la configurazione dell'SMTP server, in modo che se ci sono
problemi con il proxy, si disattiva solo una regola di inoltro iptables.
Pensavo a questa regola da attivare sull'SMTP server:
iptables -t nat -A PREROUTING -p tcp -d IPSMTP --dport
Ciao,
On Thu, November 25, 2010 10:07 am, Alessandro T. wrote:
> Il 24/11/2010 23:58, Pol Hallen ha scritto:
>>
>> il ping funziona, ma alcune pagine vanno in timeout (sono pagine che
>> funzionano come verificato dall'altra adsl)
Mi è capitato di vedere gli stessi sintomi, nel mio caso si tratta
1 - 100 di 745 matches
Mail list logo