[PLUTO-help] Problema serio con iptables

[abaddon]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Thursday 08 April 2004 09:17, Luigi wrote:
> Le righe con RH-Lookit ... sono inserite direttamente dalla casa madre.
> Eliminandole, non parte più X (ho già provato eh eh)
> La riga con ESTABLISHED, RELATED serve per consentire il transito dei
> pacchetti di ritorno ad una determinata richiesta. Altrimenti, per la
> policy di default, non potrebbe entrare alcun pacchetto.
> Ciao
> Luigi
>

se le elimini tutte quelle con  RH-Lookit ènormale che ti si inchiodi X, 
infatti X lavora come client server sul device di loopback (lo)

- -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

questa regola infatti non va tolta.

queste regole 
- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT

invece permettono di accedere a chiunque ai seguenti servizi dall'esterno (io 
ordine) smtp, http, ftp, ssh

se il server funziona solo come webserver, tutte le altre son solo 
vulnerabilità extra, quindi fossi in te le bloccherei le porte, soprattutto 
ssh e smtp (che se mal configurato, ti trasformano il server mail in un coso 
di spam).

non comprendo tutt'ora questa regola..
- -A INPUT -d 10.23.112.3 -m state --state ESTABLISHED,RELATED -j ACCEPT

in un INPUT la destinazione è sempre il server, a che ti serve dire che la 
destinazione è un altro ip? di solito una cosa del genere la si fa con il 
FORWARD, boh non ne trovo l'utilità qua. al max una regola del genere è utile 
nell OUTPUT ma qua hai messo come policy ACCEPT, quindi inutile pure lì.

magari mi son rincoglionito io e non ho ben capito la situazione....


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAdUOHbhDCe7LskGYRAo8wAJwOL60qIBn/r2/YRlRa8sc6GBhdOQCeK9LH
9NNdY35VRYmCn52AT6e6Qyo=
=oi72
-----END PGP SIGNATURE-----