[PLUTO-help] IPTABLES

Stefano Callegari ste.callegari a tiscali.it
Gio 13 Maggio 2004 13:36:51 CEST 

Il 13May 12:35, gianni scrisse:
> dopo aver pulita la chain OUTUP con -F  e averla settata su DROP ho 
> inserito questo comando
> 
> iptables -A OUTPUT -p tcp --dport 22:80  -j ACCEPT

Così, se non sbaglio, gli hai detto tutte le porte dalla 22 alla 80.

> però da quel momento non sono più riuscito ne a leggere la posta (Kmail) ne 
> a navigare (firefox)

Per la posta (in lettura pop3) devi aprire anche la 110!

> dov'è che ho sbagliato?

Secondo me è quello che ti ho indicato prima. 

Non puoi chiudere tutte le porte in quanto quelle sopra la 1024 vengono
usate per la connessione. Faccio un esempio:

tecnico:~ # tcpdump -i ppp1
tcpdump: listening on ppp1
[cut]
13:02:27.611212 192.168.0.11.dls-monitor > 192.168.0.12.florence: S
2914988542:2914988542(0) win 5840 <mss 1460,sackOK,timestamp 1294112
0,nop,wscale 0> (DF)
13:02:30.611245 192.168.0.99 > 192.168.0.11: icmp: host 192.168.0.12
unreachable [tos 0xc0] 

Il collegamento al server ssh avviene dal client attraverso la porta
nfs (2049), questa volta. Se da questa porta non puoi uscire allora non
puoi raggiungere il server. Così per la posta e internet.

Devi aprire le porte sopra la 1024 (in teoria la iana - almeno per
l'ftp - da un range più limitato, mi pare) per avere navigazione.
Comunque sono anche quelle sfruttate dalla schifezza, quindi no ha
senso bloccarle.

O meglio, più che le porte blocca l'accesso esclusivamente agli IP
della tua LAN così ti eviti lo spoofing.

> 
> gianni
> At 09.41 13/05/2004, you wrote:
> >On Thu, May 13, 2004 at 09:35:11AM +0200, gianni wrote:
> >> La mia richiesta nasceva dal fatto di aver osservato che sotto windows, 
> >di
> >> tanto in tanto,
> >> qualche programma tenta di collegarsi a internet. a volte sono peogrammi
[cut]
> >> utilità ha la catena di OUTPUT per l'uso che si fa di un PC domestico?
> >
> >Bhe diciamo che potresti volendo droppare tutto e fare uscire solo la porta
> >80 e 22.
[cut]

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

More information about the pluto-help mailing list