convertire regola shorewall in iptables;

fieraf · Messaggio da **fieraf** » lunedì 15 marzo 2010, 12:23

ciao ragazzi.
mi potete aiutare a tradurre questa regola del firewall shorewall in una regola iptables
REDIRECT loc smtp tcp smtp - !212.239.29.208,192.168.20.1

praticamente questa regola deve soddisfare quanto descritto sotto:

Se gli utenti della nostra rete utilizzano il nostro server per spedire la
posta Amavisd-new fa già il suo lavoro, ma cosa succede se un nostro
utente (o un utente "esterno" nostro ospite) ha il suo bel account su
GMail o su Yahoo o qualunque altro, e usa l'SMTP di questi Provider
per spedire la posta? Se per caso il suo notebook è infetto e trasformato
in uno zombie alla mercé degli Spammers abbiamo un grosso proble-
ma: appena questi accende il computer collegato alla nostra rete azien-
dale potrebbe iniziare a spedire ingenti quantità di SPAM attraverso il
suo provider il quale cosa vedrà come mittente della spazzatura che gli
sta arrivando? Il nostro server, naturalmente, che sta "nattando" la rete
con un unico indirizzo IP. Risultato? 10 minuti e saremo “bannati”, e in
brevissimo tempo non riusciremo più ad inviare una singola mail.
Come evitare questo disastro? Con questa regola da mettere su
/etc/shorewall/rules :
REDIRECT loc smtp tcp smtp - !212.239.29.208,192.168.20.1
Dove "212.239.29.208", ricordo, è l'indirizzo IP pubblico del nostro ser-
ver. In questo modo chiunque cerchi di "passare" attraverso di lui (ad
eccezione di chi ci punta correttamente) utilizzando il protocollo SMTP,
viene "girato" localmente sul server che così avrà la possibilità di filtrare
e bloccare qualunque messaggio proveniente dalla nostra rete locale

grazie per l'aiuto

takeshi · Messaggio da **takeshi** » martedì 16 marzo 2010, 10:03

Ipotizzando che la rete locale sia tutto cio` che sta dietro a eth0:

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport smtp -d 212.239.29.208 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport smtp -d 192.168.20.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport smtp -j REDIRECT --to-port smtp

Le prime due regole lasciano passare i pacchetti con destinazione 212.239.29.208 e 192.168.20.1 e porta smtp
mentra la terza devia tutto il resto sulla porta smtp locale.

fieraf · Messaggio da **fieraf** » mercoledì 17 marzo 2010, 9:55

Innanzitutto grazie per la risposta.
ti riporto piú in particolare la configurazione riportata nella guida:

eth0 è la scheda ethernet collegata a internet (o alla WAN). Ha
un indirizzo IP statico (indispensabile per il Mail Server) o
assegnato dal provider con DHCP. Qui assumiamo che sia,
212.239.29.208 con gateway 212.239.29.255 e netmask
255.255.255.0.
192.168.20.0/24 è la rete interna
eth1 è la scheda ethernet collegata alla nostra LAN interna e
dotata di indirizzo IP statico 192.168.20.1.

restano ancora valide le tue regole iptables.?

grzie

takeshi · Messaggio da **takeshi** » mercoledì 17 marzo 2010, 23:59

No, visto che la LAN sta dietro eth1 devi modificare eth0 in eth1:

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport smtp -d 212.239.29.208 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport smtp -d 192.168.20.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport smtp -j REDIRECT --to-port smtp

Ti consiglio di effettuare qualche test in un ambiente di prova prima di usarle.

Forum Ubuntu-it