[PLUTO-help] IPTABLES
Alessandro R.
alexerre a yahoo.it
Gio 13 Maggio 2004 13:44:39 CEST
On Thu, May 13, 2004 at 01:36:51PM +0200, Stefano Callegari wrote:
> Il 13May 12:35, gianni scrisse:
> > dopo aver pulita la chain OUTUP con -F e averla settata su DROP ho
> > inserito questo comando
> >
> > iptables -A OUTPUT -p tcp --dport 22:80 -j ACCEPT
>
> Così, se non sbaglio, gli hai detto tutte le porte dalla 22 alla 80.
>
> > però da quel momento non sono più riuscito ne a leggere la posta (Kmail) ne
> > a navigare (firefox)
>
> Per la posta (in lettura pop3) devi aprire anche la 110!
>
> > dov'è che ho sbagliato?
>
> Secondo me è quello che ti ho indicato prima.
>
> Non puoi chiudere tutte le porte in quanto quelle sopra la 1024 vengono
> usate per la connessione. Faccio un esempio:
>
> tecnico:~ # tcpdump -i ppp1
> tcpdump: listening on ppp1
> [cut]
> 13:02:27.611212 192.168.0.11.dls-monitor > 192.168.0.12.florence: S
> 2914988542:2914988542(0) win 5840 <mss 1460,sackOK,timestamp 1294112
> 0,nop,wscale 0> (DF)
> 13:02:30.611245 192.168.0.99 > 192.168.0.11: icmp: host 192.168.0.12
> unreachable [tos 0xc0]
>
> Il collegamento al server ssh avviene dal client attraverso la porta
> nfs (2049), questa volta. Se da questa porta non puoi uscire allora non
> puoi raggiungere il server. Così per la posta e internet.
>
Uhm, domandone tecnico: ma con ESTABLISH, RELATED non ovvi a questo problema?
Un consiglio a chi ha startato questo thread: non ti conviene fare un NAT così
lasci dietro al firewall tutte le macchine windows e sul FORWARDING apri solo
le porte che ti interessano (www,ftp,ssh,pop3,smtp). Così sei sicuro
che tutte le altre schifezze vengono droppate.
sempre my 2 cents.
--
Alessandro R. (alexerre a yahoo.it)
Student at Computer Science Dept.
University of Milano
hp. http://www.silab.dsi.unimi.it/~ar637734
More information about the pluto-help
mailing list