[PLUTO-help] (R)e: target REJECT in iptables
Fabrizio Barison
iomelasquaglio a gmail.com
Gio 14 Lug 2005 15:06:27 CEST
Il 14/07/05, (R)ex Sanna<rex.sanna a tiscali.it> ha scritto:
> De: [target REJECT in iptables]
>
>
>
>
>
> # O siccome tutte queste caratteristiche sono compilate come moduli ma
> # non sono caricate non mi è permesso farlo?
>
> ===============================================================
> # Il 13/07/05, Mauro Luzi<mauro a pluto.it> ha scritto:
> # > dipende se hai abilitato l'auto load dei moduli e comunque ci sono alcuni moduli
> # > "non essenziali" tipo il conntrack che non li caricarebbe automaticamente.
> # >
> # > a mio avviso devi sempre considerare che se la feature ti serve devi avere il
> # > modulo caricato --> o meglio ancora staticamente <-- nel kernel.
> ===============================================================
> Mauro ha ragione.
> Se non hai i moduli iptables carichi al momento della attivazione di una regola
> ti viene negato un utilizzo corretto. [Non hai un autoload??]
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> # quello che chiedevo io era se questa feature fosse possibile, non
> # tanto come abilitarla, giusto per non scrivere eresie nella mia tesi
>
> Io non scrivo una tesi, ma spero di poterti essere utile.. ;o)
>
> Se ho ben capito tu chiedi se :
>
> iptables -P INPUT REJECT
>
> [o similari OUTPUT FORWARD]
>
> E' una eresia.
> Giusto?
>
>
> = Dal manuale di iptables su ZERO [sicuramente non e' quello che tu hai.. ;o) ]
> TARGETS [obiettivi]
>
> Ogni regola firewall specifica il comportamento da applicare ad un pacchetto attraverso un target.
> Se il pacchetto "mappato" non corrisponde alla regola descritta,
> viene confrontato con la seconda regola presente nella catena, e cosi' via finquando esistono regole..
>
> Le regole di default possono assumere valori particolari quali :
>
> ACCEPT Il pacchetto viene lasciato libero. Viene accettato.
>
> DROP Il pacchetto viene lasciato cadere, senza essere esaminato oltre.
>
> QUEUE Il pacchetto viene passato in userspace (se questo comportamento e' supportato dal kernel)
>
> RETURN Il pacchetto viene fermato nell'attraversamento di una catena,
> per essere letto dalla precedente catena (potrebbe essere la catena
> che ha inviato il pacchetto alla catena corrente) [come salire di una directory ;o)].
>
> Se viene raggiunta la fine di una catena o una regola termina con RETURN come target,
> la politica [policy] della catena viene utilizzata come giudice,
> stabilendo il destino del pacchetto in questione.
>
>
> [...]
>
>
> ESTENSIONI TARGET
> iptables puo' estendere i suoi targets.
> Le seguenti espressioni sono incluse in tutte le distribuzioni standard :
>
> [...]
>
> REJECT
>
> Questo target e' usato per rimandare indietro un pacchetto di errore in risposta al pacchetto filtrato.
> Simile a DROP esso e' un target che termina la percorrenza delle regole.
> Questo target e' valido solo nelle catene di INPUT, FORWARD e OUTPUT
> e tutte le catene definite dall'utente che sono richiamate da queste catene.
>
> Le seguenti opzioni specificano la natura del pacchetto da restituire all'host che richiede la connessione :
>
> --reject-with 'tipo'
>
> Il 'tipo' puo' essere uno dei seguenti :
>
> icmp-net-unreachable
>
> icmp-host-unreachable
>
> icmp-port-unreachable
>
> icmp-proto-unreachable
>
> icmp-net-prohibited
>
> icmp-host-prohibited
>
>
> Restituendo l'apposito messaggio di errore ICMP.
> Di default viene utilizato port-unreachable.
> L'opzione tcp-reset puo' essere utilizzata sulle regole che controllano il protocollo TCP.
> Questo causa l'invio di un pacchetto TCP RST.
>
>
> Questo comportamento e' utile nell'interruzione [bloccaggio] di ident (113/tcp)
> che occorre quando invii posta a hosts interrotti che in ogni caso non vogliono accettare i tuoi messaggi.
>
> ===========================================================
>
>
>
>
>
>
>
> Pertanto da "iptables secondo (R)ex" ;o)
>
> # --- Ya said:
> # La mia domanda è dunque questa:
> # si può mettere come target di una catena REJECT con l'opzione -P?
>
>
> = La tua regola :
>
> iptables -P INPUT REJECT
>
> Fa riferimento ad una POLICY non un ad un target e sue estensioni.
> Significa che i soli significati di una policy sono i soli targets predefiniti.
> Che nel tuo caso puoi selezionare rileggendo il manuale..
>
> Il comando indicato non e' consentito.
> Lo dice anche zero:
>
> (R)oot a zero [~] > iptables -P INPUT REJECT
> iptables: Bad policy name
>
>
>
>
>
>
> Puoi utilizzare il target REJECT in altri modi piu' specializzati.
> Cosi' come descritto sul manuale, ad esempio, puoi utilizzarlo REJECT per bloccare
> il servizio indicato.
>
> iptables -A INPUT -s bad_guy -p tcp --dport 113 -J REJECT --reject-with icmp-host-prohibited
>
>
>
>
>
> Spero di esserti stato utile.
> E di ricevere una copia della tua tesi.
> Non scherzo.
>
>
>
>
>
> PS:
> Possiamo continuare il discorso su una ML piu' indicata.. pluto-security a lists.pluto.it
> ~:o)
>
>
>
> --
> (R)ex Sanna
> _______________________________________________
> pluto-help mailing list
> pluto-help a lists.pluto.it
> Per gestire la propria iscrizione alla lista:
> http://lists.pluto.it/listinfo/pluto-help
>
grazie mille, inoltre l'avevo già iniziato a sospettare.
per la copia della tesi, fatemela prima esporre, non vorrei che
emergessero altre eresie! ;)
More information about the pluto-help
mailing list