[PLUTO-help] IPTABLES

Alessandro R. alexerre a yahoo.it
Gio 13 Maggio 2004 13:44:39 CEST


On Thu, May 13, 2004 at 01:36:51PM +0200, Stefano Callegari wrote:
> Il 13May 12:35, gianni scrisse:
> > dopo aver pulita la chain OUTUP con -F  e averla settata su DROP ho 
> > inserito questo comando
> > 
> > iptables -A OUTPUT -p tcp --dport 22:80  -j ACCEPT
> 
> Così, se non sbaglio, gli hai detto tutte le porte dalla 22 alla 80.
> 
> > però da quel momento non sono più riuscito ne a leggere la posta (Kmail) ne 
> > a navigare (firefox)
> 
> Per la posta (in lettura pop3) devi aprire anche la 110!
> 
> > dov'è che ho sbagliato?
> 
> Secondo me è quello che ti ho indicato prima. 
> 
> Non puoi chiudere tutte le porte in quanto quelle sopra la 1024 vengono
> usate per la connessione. Faccio un esempio:
> 
> tecnico:~ # tcpdump -i ppp1
> tcpdump: listening on ppp1
> [cut]
> 13:02:27.611212 192.168.0.11.dls-monitor > 192.168.0.12.florence: S
> 2914988542:2914988542(0) win 5840 <mss 1460,sackOK,timestamp 1294112
> 0,nop,wscale 0> (DF)
> 13:02:30.611245 192.168.0.99 > 192.168.0.11: icmp: host 192.168.0.12
> unreachable [tos 0xc0] 
> 
> Il collegamento al server ssh avviene dal client attraverso la porta
> nfs (2049), questa volta. Se da questa porta non puoi uscire allora non
> puoi raggiungere il server. Così per la posta e internet.
> 

Uhm, domandone tecnico: ma con ESTABLISH, RELATED non ovvi a questo problema?

Un consiglio a chi ha startato questo thread: non ti conviene fare un NAT così
lasci dietro al firewall tutte le macchine windows e sul FORWARDING apri solo
le porte che ti interessano (www,ftp,ssh,pop3,smtp). Così sei sicuro
che tutte le altre schifezze vengono droppate. 
sempre my 2 cents.
-- 
Alessandro R.               (alexerre a yahoo.it)
Student at Computer Science Dept.
University of Milano
hp. http://www.silab.dsi.unimi.it/~ar637734


More information about the pluto-help mailing list