[Pluto-security] firewall, routing

Tommaso Di Donato dido@sicurweb.com
Tue, 23 Apr 2002 10:19:13 +0200


Ciao!

>Ho una box1 con IP x.x.x.86 e subnetmask 255.255.252 (IP validi: x.x.x.85 e
>x.x.x.86 e broadcast x.x.x.84 e x.x.x.87) collegata tramite hub a una box2
>con IP x.x.x.85. Sulla box2 =E8 presente una seconda scheda di rete con  IP
>x.x.x.82 e subnetmask sempre 255.255.252 (IP validi: x.x.x.81 e x.x.x.82 e
>broadcast x.x.x.80 e x.x.x.83) collegata tramite un altro hub a una box3=
 con
>ip x.x.x.81.
>La box2 ha come default gateway x.x.x.81 e tutte le chains delle tabelle di
>iptables impostate in default policy ACCEPT (senza che vi sia alcun altra
>policy impostata).

Come ti hanno gi=E0 detto in -help, la tua configurazione =E8 un bridge...e=
=20
quindi stai tentando di fare un bridging firewall. Ti consiglio di dare uno=
=20
sguardo qui:
http://www.linuxgazette.com/issue76/whitmarsh.html

>Ho provato come default gatway di box1 sia x.x.x.82 che x.x.x.85 e in
>entrambi i casi da box1 pingo x.x.x.82 e x.x.x.85 ma non riesco a pingare
>x.x.x.81.

Mi sa che per fare il bridge tu debba patchare/ricompilare il kernel (non=20
so se quello di default =E8 gi=E0 compilato con le opzioni di bridging...),=
 poi=20
configurare il bridge come nell'articolo che ti ho postato...

>Fra le altre cose ho provato anche a mettere come default policy
>DROP nella chain FORWARD della tabella filter. La cosa non cambiava in=
 alcun
>modo. Se invece sempre nella stessa tabella metto come default policy DROP
>nella chain INPUT allora non pingo pi=F9 nulla.

Beh, questo =E8 ovvio: con policy drop blocchi i pacchetti icmp, e quindi=20
anche gli echo-request
Spero di esserti stato utile...

Tom