[Pluto-security] problemino iptables

[Beppe]

> per il momento le regole le avevo scritte da linea di comando e le salvo
> con iptables-save e iptables-restore, lo script l'ho tratto da quello
> che c'è sull' how to packet filtering di rusty russel.
>
> ecco lo script al quale mi sono ispirato:
>
> # Create chains wich bloks new connections, except if coming from
> inside.
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! eth1 -j ACCEPT
> iptables -A block -j DROP
>
>
> # Jump to that chain from INPUT and Forward chains.
> iptables -A INPUT -j block
> iptables -A FORWARD -j block


Ciao !
Una considerazione totalmente personale ; vista la lunghezza del Fw sarebbe 
forse meglio mantenere separate le catene ( INPUT - OUTPUT - FORWARD),
credo sia piu' chiaro e immediato vedere cosa realmente succede , ma alla 
fine sono abitudini.

Cmq. nello script scrivi :

> iptables -A block -m state --state NEW -i ! eth1 -j ACCEPT

Secondo me il tuo problema è qui.
In questo caso stai impostando una regola che accetti qualsiasi " NUOVA " 
connessione generata internamente ( -i ! eth1 cioè non proventiente 
dall'interfaccia esterna ) e allo stesso tempo non stai specificando nessun 
tipo di regola aggiuntiva.
Quindi un qualsiasi client della rete interna puo' effetuare un collegamento 
all'esterno ( nessuna regola glie lo impedisce ).Succesivamente imposti:

> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

quindi il traffico puo' anche tornare indietro perchè fa parte di una 
connesione nota.
Sarebbe meglio stabilire una politica di default per il traffico entrante ( 
attualamente sembra che tu non c'è l'abbia ):

iptables -t filter -P INPUT DROP

e poi andare avanti impostando regole per il traffico diretto al Firewall e 
quello diretto ai Client della rete interna.

Spero di essere stato il piu' chiaro possibile.
Ciao Beppe