[PLUTO-help] (R)e: target REJECT in iptables

Fabrizio Barison iomelasquaglio a gmail.com
Gio 14 Lug 2005 15:06:27 CEST 

Il 14/07/05, (R)ex Sanna<rex.sanna a tiscali.it> ha scritto:
> De: [target REJECT in iptables]
> 
> 
> 
> 
> 
> # O siccome tutte queste caratteristiche sono compilate come moduli ma
> # non sono caricate non mi è permesso farlo?
> 
> ===============================================================
> # Il 13/07/05, Mauro Luzi<mauro a pluto.it> ha scritto:
> # > dipende se hai abilitato l'auto load dei moduli e comunque ci sono alcuni moduli
> # > "non essenziali" tipo il conntrack che non li caricarebbe automaticamente.
> # >
> # > a mio avviso devi sempre considerare che se la feature ti serve devi avere il
> # > modulo caricato   --> o meglio ancora staticamente  <--      nel kernel.
> ===============================================================
> Mauro ha ragione.
> Se non hai i moduli iptables carichi al momento della attivazione di una regola
> ti viene negato un utilizzo corretto. [Non hai un autoload??]
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
> # quello che chiedevo io era se questa feature fosse possibile, non
> # tanto come abilitarla, giusto per non scrivere eresie nella mia tesi
> 
> Io non scrivo una tesi, ma spero di poterti essere utile.. ;o)
> 
> Se ho ben capito tu chiedi se :
> 
>  iptables -P INPUT REJECT
> 
> [o similari OUTPUT FORWARD]
> 
> E' una eresia.
> Giusto?
> 
> 
> = Dal manuale di iptables su ZERO [sicuramente non e' quello che tu hai.. ;o) ]
> TARGETS [obiettivi]
> 
> Ogni regola firewall specifica il comportamento da applicare ad un pacchetto attraverso un target.
> Se il pacchetto "mappato" non corrisponde alla regola descritta,
> viene confrontato con la seconda regola presente nella catena, e cosi' via finquando esistono regole..
> 
> Le regole di default possono assumere valori particolari quali :
> 
>  ACCEPT Il pacchetto viene lasciato libero. Viene accettato.
> 
> DROP Il pacchetto viene lasciato cadere, senza essere esaminato oltre.
> 
> QUEUE Il pacchetto viene passato in userspace (se questo comportamento e' supportato dal kernel)
> 
> RETURN Il pacchetto viene fermato nell'attraversamento di una catena,
> per essere letto dalla precedente catena (potrebbe essere la catena
> che ha inviato il pacchetto alla catena corrente) [come salire di una directory ;o)].
> 
> Se viene raggiunta la fine di una catena o una regola termina con RETURN come target,
> la politica [policy] della catena viene utilizzata come giudice,
> stabilendo il destino del pacchetto in questione.
> 
> 
> [...]
> 
> 
> ESTENSIONI TARGET
> iptables puo' estendere i suoi targets.
> Le seguenti espressioni sono incluse in tutte le distribuzioni standard :
> 
> [...]
> 
> REJECT
> 
> Questo target e' usato per rimandare indietro un pacchetto di errore in risposta al pacchetto filtrato.
> Simile a DROP esso e' un target che termina la percorrenza delle regole.
> Questo target e' valido solo nelle catene di INPUT, FORWARD e OUTPUT
> e tutte le catene definite dall'utente che sono richiamate da queste catene.
> 
> Le seguenti opzioni specificano la natura del pacchetto da restituire all'host che richiede la connessione :
> 
> --reject-with 'tipo'
> 
> Il 'tipo' puo' essere uno dei seguenti :
> 
> icmp-net-unreachable
> 
> icmp-host-unreachable
> 
> icmp-port-unreachable
> 
> icmp-proto-unreachable
> 
> icmp-net-prohibited
> 
> icmp-host-prohibited
> 
> 
> Restituendo l'apposito messaggio di errore ICMP.
> Di default viene utilizato port-unreachable.
> L'opzione tcp-reset puo' essere utilizzata sulle regole che controllano il protocollo TCP.
> Questo causa l'invio di un pacchetto TCP RST.
> 
> 
> Questo comportamento e' utile nell'interruzione [bloccaggio] di ident (113/tcp)
> che occorre quando invii posta a hosts interrotti che in ogni caso non vogliono accettare i tuoi messaggi.
> 
> ===========================================================
> 
> 
> 
> 
> 
> 
> 
> Pertanto da "iptables secondo (R)ex" ;o)
> 
> # --- Ya said:
> # La mia domanda è dunque questa:
> # si può mettere come target di una catena REJECT con l'opzione -P?
> 
> 
> = La tua regola :
> 
>  iptables -P INPUT REJECT
> 
> Fa riferimento ad una POLICY non un ad un target e sue estensioni.
> Significa che i soli significati di una policy sono i soli targets predefiniti.
> Che nel tuo caso puoi selezionare rileggendo il manuale..
> 
> Il comando indicato non e' consentito.
> Lo dice anche zero:
> 
> (R)oot a zero [~] > iptables -P INPUT REJECT
> iptables: Bad policy name
> 
> 
> 
> 
> 
> 
> Puoi utilizzare il target REJECT in altri modi piu' specializzati.
> Cosi' come descritto sul  manuale, ad esempio, puoi utilizzarlo REJECT per bloccare
> il servizio indicato.
> 
>  iptables -A INPUT -s bad_guy -p tcp --dport 113 -J REJECT --reject-with icmp-host-prohibited
> 
> 
> 
> 
> 
> Spero di esserti stato utile.
> E di ricevere una copia della tua tesi.
> Non scherzo.
> 
> 
> 
> 
> 
> PS:
> Possiamo continuare il discorso su una ML piu' indicata.. pluto-security a lists.pluto.it
> ~:o)
> 
> 
> 
> --
>    (R)ex Sanna
> _______________________________________________
> pluto-help mailing list
> pluto-help a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-help
> 
grazie mille, inoltre l'avevo già iniziato a sospettare.
per la copia della tesi, fatemela prima esporre, non vorrei che
emergessero altre eresie! ;)

More information about the pluto-help mailing list