[PLUTO-help] IPTABLES

[Luca Sollazzo]

On Thursday, May 13, 2004 3:33 PM Stefano Callegari wrote:

> Il 13May 13:44, Alessandro R. scrisse:
> > On Thu, May 13, 2004 at 01:36:51PM +0200, Stefano Callegari wrote:
> [cut]

> Oh, mi fai proprio una bella domanda.
>
> Secondo me, attendo flame di smentita, no. L'establish e il related
> dovrebbero aver senso esclusivamente nella risposta alla tua
> richiesta.
> Riprendendo l'esempio sopra, il server ssh che ho contattato genera un
> pacchetto destinato alla porta nfs. Il mio firewall tratterebbe questo
> paccheto come un tentativo di intrusione se non fosse che questo si
> porta dietro i flag establish e/o related che indicano che quanto
> arriva è in risposta ad una mi specifica precedente richiesta, quindi
> autorizzati. La mia catena di allow controllerà l'effettiva
> autorizzazione e lo farà passare.

mmmh non è che il pacchetto "si porta dietro" il flag... è netfilter
stesso che tiene traccia delle connessioni, e capisce che quello è in
realtà una risposta ad una richiesta fatta piuttosto che un tentativo di
connessione proveniente dall'esterno...

ovviamente deve essere fatta un'analisi dei flags... considerato che una
connessione nuova ha il bit syn attivo, mentre una risposta ha l'ack...
ma un'analisi di questo tipo da sola non è sufficiente, perchè se un
ipotetico attaccante alterasse il pacchetto facendolo sembrare la
risposta di un server, passerebbe attraverso il firewall come una
qualsiasi altra risposta... e questo invece NON deve accadere...

>
> Un establish/related per un pacchetto in partenza non ha alcun senso
> (forse anche dannoso) in quanto questo sarebbe new.
>
> Continuo a sostenere che se filtrate l'OUTPUT dovete permettere anche
> l'uscita dalle porte >1024. O sbaglio?

questo dipende, se vuoi usare protocolli che fanno uso di connessioni
secondarie, su porte assegnate randomicamente (tipo ftp attivo) allora
si, altrimenti è un rischio inutile....



Ciao,
 Luca