[PLUTO-help] IPTABLES

[Stefano Callegari]

Il 13May 13:44, Alessandro R. scrisse:
> On Thu, May 13, 2004 at 01:36:51PM +0200, Stefano Callegari wrote:
[cut]
> > tecnico:~ # tcpdump -i ppp1
> > tcpdump: listening on ppp1
> > [cut]
> > 13:02:27.611212 192.168.0.11.dls-monitor > 192.168.0.12.florence: S
> > 2914988542:2914988542(0) win 5840 <mss 1460,sackOK,timestamp 1294112
> > 0,nop,wscale 0> (DF)
> > 13:02:30.611245 192.168.0.99 > 192.168.0.11: icmp: host 192.168.0.12
> > unreachable [tos 0xc0] 
> > 
> > Il collegamento al server ssh avviene dal client attraverso la porta
> > nfs (2049), questa volta. Se da questa porta non puoi uscire allora non
> > puoi raggiungere il server. Così per la posta e internet.
> > 
> 
> Uhm, domandone tecnico: ma con ESTABLISH, RELATED non ovvi a questo problema?

Oh, mi fai proprio una bella domanda.

Secondo me, attendo flame di smentita, no. L'establish e il related
dovrebbero aver senso esclusivamente nella risposta alla tua richiesta.
Riprendendo l'esempio sopra, il server ssh che ho contattato genera un
pacchetto destinato alla porta nfs. Il mio firewall tratterebbe questo
paccheto come un tentativo di intrusione se non fosse che questo si
porta dietro i flag establish e/o related che indicano che quanto
arriva è in risposta ad una mi specifica precedente richiesta, quindi
autorizzati. La mia catena di allow controllerà l'effettiva
autorizzazione e lo farà passare.

Un establish/related per un pacchetto in partenza non ha alcun senso
(forse anche dannoso) in quanto questo sarebbe new.

Continuo a sostenere che se filtrate l'OUTPUT dovete permettere anche
l'uscita dalle porte >1024. O sbaglio?

> Un consiglio a chi ha startato questo thread: non ti conviene fare un NAT così
> lasci dietro al firewall tutte le macchine windows e sul FORWARDING apri solo
[cut]

A quanto ho capito la sua è una macchine singola, non ha rete da
proteggere.

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy