Topic: gestione regole di firewall

[barts]

Ciao a tutti.
Ho uno SME server 7.2 collegato con due schede a due reti:
- una universitaria
- una aziendale

Questa macchina fa da export share, proxy web e gateway applicativo fra le due reti (dovrebbe).
Tutti i pc sono collegati alla aziendale e devono usare questo server per uscire sulla rete universitaria per:

- proxy (fatto)
- share (fatto)
- inviare e ricevere mail

Qui il problema.
Ho le regole per far girare le porte 143 e 25 sulla rete universitaria (far vedere lo sme server come il server di mail universitario) ma come le faccio convivere con le 15mila regole di sme server? E dove cavolo le prende? E dove le configura?

Grazie

[Stefano]

Ciao a tutti.

ciao e ben arrivato

Ho le regole per far girare le porte 143 e 25 sulla rete universitaria (far vedere lo sme server come il server di mail universitario) ma come le faccio convivere con le 15mila regole di sme server? E dove cavolo le prende? E dove le configura?

definisci "ho le regole per.."

SME ha un sistema di templating molto avanzato e, nel particolare caso del masquerading, la cosa è oltremodo complessa.. se non conosci il sistema farai fatica a poterci mettere mano..

maggiori info sul manuale per sviluppatori..

comunque, una volta che avrai meglio definito le regole come ti ho chiesto (no, non mi servono le regole di iptables, vorrei capire cosa vorresti ottenere) potrò esserti più utile (spero)

Ciao

Stefano

[barts]

ciao e ben arrivato

definisci "ho le regole per.."

Ciao

Stefano

Ciao e grazie.
Faccio prima a definire le 4 regole da inserire.

SERVER_SMTP=1.2.3.4
SERVER_IMAP=1.2.3.5
#rete interna
RETE_INTERNA=192.168.1.0/24
#Indirizzi
IP_INTERNO=192.168.1.1
IP_ESTERNO=10.9.8.7

Il server e' collegato a due reti (una interna e una esterna) e deve permettere alle macchine della rete interna di fare le veci di server IMAP e SMTP.

#Regole di forward
#SMTP
iptables -A FORWARD -s 192.168.1.0/24 -d 1.2.3.4 -p tcp --destination-port  25 -m state --state NEW -j ACCEPT
#IMAP
iptables -A FORWARD -s 192.168.1.0/24 -d 1.2.3.5 -p tcp --destination-port 143 -m state --state NEW -j ACCEPT

#NAT (ma non per tutti i servizi, solo per quelli giusti!)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.1 -p tcp --destination-port  25 -j SNAT --to-source 10.9.8.7
iptables -t nat -A POSTROUTING -s $RETE_INTERNA -d 192.168.1.1 -p tcp --destination-port 143 -j SNAT --to-source 10.9.8.7

#Pacchetti correlati a connessioni il cui primo pacchetto (state NEW) e' stato accettato
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Sai dirmi come faccio a inserirle?

[Stefano]

Ciao

allora..

deduco che il tuo server sia in modalità server & gateway, quindi con 2 schede di rete..

i frammenti dei template per le regole di iptables sono in

/etc/e-smith/templates/etc/rc.d/init.d/masq/

quindi, ti consiglio di seguire questi step:
- leggi il manuale dello sviluppatore per capire come funziona il sistema di templating dei file di conf in sme
- fatti un file tramite

Code: [Select]

iptables -L > elencoregole.txt
questo ti permetterà di capire quali frammenti siano utilizzati e valorizzati
- creati una directory
/etc/e-smith/templates-custom/etc/rc.d/init.d/masq/
- al suo interno copia i frammenti che ti interessano o crea un file a tua scelta, rispettando il corretto ordine (alfabetico..) e modifica/popola tale/i file con le  tue necessità

a questo punto l'unica cosa da fare è dare

Code: [Select]

signal-event post-upgrade
signal-event reboot

e verificare.. questo perchè non mi pare ci sia un evento che fa all'uopo..

ev. prova a verificare se con

Code: [Select]

signal-event portforwarding-update

ottieni la stessa cosa.. ti risparmi un reboot

per ulteriori info, ti consiglio di postare la richiesta sui forum in inglese (ritengo "general discussion" quello più adatto)

HTH

Ciao

Stefano

[Stefano]

Ciao

Aggiungo anche questo:

http://wiki.contribs.org/SME_Server:Documentation:FAQ#Firewall.2FPort_Forwarding.2COpening.2CBlocking

HTH

Stefano