[PLUTO-help] (R)e: target REJECT in iptables

(R)ex Sanna rex.sanna a tiscali.it
Gio 14 Lug 2005 12:11:40 CEST 

De: [target REJECT in iptables]





# O siccome tutte queste caratteristiche sono compilate come moduli ma
# non sono caricate non mi è permesso farlo?

===============================================================
# Il 13/07/05, Mauro Luzi<mauro a pluto.it> ha scritto:
# > dipende se hai abilitato l'auto load dei moduli e comunque ci sono alcuni moduli
# > "non essenziali" tipo il conntrack che non li caricarebbe automaticamente.
# > 
# > a mio avviso devi sempre considerare che se la feature ti serve devi avere il
# > modulo caricato   --> o meglio ancora staticamente  <--      nel kernel.
===============================================================
Mauro ha ragione.
Se non hai i moduli iptables carichi al momento della attivazione di una regola
ti viene negato un utilizzo corretto. [Non hai un autoload??]










 



# quello che chiedevo io era se questa feature fosse possibile, non
# tanto come abilitarla, giusto per non scrivere eresie nella mia tesi

Io non scrivo una tesi, ma spero di poterti essere utile.. ;o)

Se ho ben capito tu chiedi se :

 iptables -P INPUT REJECT 

[o similari OUTPUT FORWARD]

E' una eresia.
Giusto?


= Dal manuale di iptables su ZERO [sicuramente non e' quello che tu hai.. ;o) ]
TARGETS [obiettivi]
 
Ogni regola firewall specifica il comportamento da applicare ad un pacchetto attraverso un target. 
Se il pacchetto "mappato" non corrisponde alla regola descritta, 
viene confrontato con la seconda regola presente nella catena, e cosi' via finquando esistono regole.. 

Le regole di default possono assumere valori particolari quali : 

 ACCEPT Il pacchetto viene lasciato libero. Viene accettato. 

DROP Il pacchetto viene lasciato cadere, senza essere esaminato oltre. 

QUEUE Il pacchetto viene passato in userspace (se questo comportamento e' supportato dal kernel) 

RETURN Il pacchetto viene fermato nell'attraversamento di una catena, 
per essere letto dalla precedente catena (potrebbe essere la catena 
che ha inviato il pacchetto alla catena corrente) [come salire di una directory ;o)]. 

Se viene raggiunta la fine di una catena o una regola termina con RETURN come target, 
la politica [policy] della catena viene utilizzata come giudice, 
stabilendo il destino del pacchetto in questione.


[...]


ESTENSIONI TARGET
iptables puo' estendere i suoi targets. 
Le seguenti espressioni sono incluse in tutte le distribuzioni standard : 

[...]

REJECT
 
Questo target e' usato per rimandare indietro un pacchetto di errore in risposta al pacchetto filtrato. 
Simile a DROP esso e' un target che termina la percorrenza delle regole. 
Questo target e' valido solo nelle catene di INPUT, FORWARD e OUTPUT 
e tutte le catene definite dall'utente che sono richiamate da queste catene. 

Le seguenti opzioni specificano la natura del pacchetto da restituire all'host che richiede la connessione : 

--reject-with 'tipo' 

Il 'tipo' puo' essere uno dei seguenti : 

icmp-net-unreachable 

icmp-host-unreachable

icmp-port-unreachable 

icmp-proto-unreachable 

icmp-net-prohibited 

icmp-host-prohibited 


Restituendo l'apposito messaggio di errore ICMP. 
Di default viene utilizato port-unreachable. 
L'opzione tcp-reset puo' essere utilizzata sulle regole che controllano il protocollo TCP. 
Questo causa l'invio di un pacchetto TCP RST. 


Questo comportamento e' utile nell'interruzione [bloccaggio] di ident (113/tcp) 
che occorre quando invii posta a hosts interrotti che in ogni caso non vogliono accettare i tuoi messaggi. 

===========================================================







Pertanto da "iptables secondo (R)ex" ;o)

# --- Ya said:
# La mia domanda è dunque questa:
# si può mettere come target di una catena REJECT con l'opzione -P?


= La tua regola :
 
 iptables -P INPUT REJECT 

Fa riferimento ad una POLICY non un ad un target e sue estensioni.
Significa che i soli significati di una policy sono i soli targets predefiniti.
Che nel tuo caso puoi selezionare rileggendo il manuale..

Il comando indicato non e' consentito.
Lo dice anche zero:

(R)oot a zero [~] > iptables -P INPUT REJECT
iptables: Bad policy name






Puoi utilizzare il target REJECT in altri modi piu' specializzati.
Cosi' come descritto sul  manuale, ad esempio, puoi utilizzarlo REJECT per bloccare
il servizio indicato.

 iptables -A INPUT -s bad_guy -p tcp --dport 113 -J REJECT --reject-with icmp-host-prohibited 





Spero di esserti stato utile.
E di ricevere una copia della tua tesi.
Non scherzo.





PS:
Possiamo continuare il discorso su una ML piu' indicata.. pluto-security a lists.pluto.it
~:o)



-- 
   (R)ex Sanna

More information about the pluto-help mailing list