OpenWRT ed iptables, permettere solo http e posta ?

[Max]

Ciao a tutti  
Sto sbattendo la testa da alcuni giorni e purtroppo non ho risolto  

Ho un wrt54gl con openwrt 10.03 configurato come router e non riesco a impostarlo per far "passare" su alcuni IP solo http, pop3 e smtp ... potete aiutarmi solo voi, ho letto tutte le guide ma niente non vanno ...

Grazie mille in anticipo

[truthahn]

Ciao... non so che cosa hai provato finora...

si possono aggiungere le regole del firewall in due file...

o in /etc/config/firewall che poi ? quello che viene gestito dall'interfaccia grafica (almeno dalla webif) che ha una sua sintassi

esempio:
config 'rule' 'gigi'
        option 'src' 'lan'
        option 'dest_ip' '192.168.60.174'
        option 'dest_port' '22'
        option 'target' 'DROP'
        option 'proto' 'tcpudp'
        option 'src_ip' '192.168.60.181'

che blocca l'ssh (22) all'ip 192.168.60.181 della rete "lan" se prova ad andare all'indirizzo 192.168.60.174, naturalmente adattando gli indirizzi e e la rete (lan) puoi gestire il traffico..

oppure puoi mettere le regole del firewall, con sintassi classica "ip tables", nel file /etc/firewall.user che viene automaticamente incluso in /etc/config/firewall.

Se hai installato la xwrt mi sembra facile la cosa... a dire il vero non ho fatto prove sul campo ultimamente perch? non ne ho avuto bisogno... avevo configurato spesso le fon2100 e usavo direttamente il file /etc/firewall.user.

Tu cosa hai provato?

[Max]

Ti ringrazio tantissimo per la risposta !
Io ho provato a modificare le zone con luci, ora non posso postare un immagine, e non ci sono riuscito ...
Domani provo modificando il file firewall ma ... come faccio a bloccare tutto il traffico e permettere solo http ?
Le "rule" vengono eseguite seguendo un priorit? ?

Scusa per tante domande ma non riesco a trovare nessun doc o wiki  

[truthahn]

Certo... di solito si blocca tutto e poi si apre quello che si vuole... ma tu puoi fare il contrario, lasciare aperto tutto e bloccare gli indirizzi che vuoi su determinate porte.
se non ricordo male non era possibile dare una serie di porte (80,22,21) sulla stessa riga ma si doveva scrivere una riga per ogni regola.

[Max]

Ciao, niente ... ho provato con etc/config/firewall ma se blocco tutto il traffico poi non riesco a far passare l'http

Ora provo con iptables 

[truthahn]

prova a mettere questo in /etc/firewall.user

Codice: [Seleziona]

iptables -I INPUT -p tcp -s indirizzo/32  -j DROP
iptables -I INPUT -p tcp -s  indirizzo/32 --dport 80  -j ACCEPT
iptables -I INPUT -p tcp -s indirizzo/32 --dport 110  -j ACCEPT
iptables -I INPUT -p tcp -s indirizzo/32 --dport 25  -j ACCEPT


[Max]

Niente da fare non va ...
L'unico modo per filtrare tutto ? usare questo:

Codice: [Seleziona]

iptables -I FORWARD 1 -p tcp -m multiport --dports 21,25,80,110,443,995,1723,5060,11111 -j ACCEPT
iptables -I FORWARD 2 -p udp -m multiport --dports 5060,22222 -j ACCEPT
iptables -I FORWARD 3 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 4 -j DROP

Il problema ? che nonostante "sblocco" le porte ad esempio la 11111 tcp e 22222 udp non c'? modo di fare il port forwarding che sto invece impostando da /etc/config/firewall) !

Devo fare tutto all'interno di /etc/firewall.user ?

Grazie per l'aiuto e la pazienza

EDIT
Forse ho capito dov'? il problema ... speriamo bene

[Max]

Niente rinuncio ... appena ho un po di tempo ci riprovo ...
Grazie truthahn