(R)e: [PLUTO-security] Firewall: un chiarimento!

(R)ex Sanna 77512746 at tiscali.it
Sun Apr 27 15:35:04 CEST 2003


De : "[PLUTO-security] Firewall: un chiarimento!" 

# # Domanda
# se scrivo una regola tipo: iptables -A FORWARD <..opzioni..>
# essa si estende dinamicamente su tutte le nuove catene visto e considerato che 
# le stesse derivano da quella di FORWARD ?

Ti rispondo dal manuale iptables che ancora non hai.. :o)

[...]
Ogni catena e' definita come una lista di regole alle quali i pacchetti IP che arrivano 
alla nostra macchina possono corrispondere. 

Ogni regola specifica il comportamento che deve essere applicato. 

Questo comportamento prende il nome di TARGET. 
Esso puo' anche risultare come salto ad una nuova catena, o un comportamento scelto tra quelli predefiniti.

TARGETS [obiettivi]

 Una regola firewall specifica il comportamento da applicare ad un pacchetto 
attraverso un target. Se il pacchetto "mappato" non corrisponde alla regola descritta, 
viene confrontato con la seconda regola presente nella catena, 
e cosi' via finquando esistono regole.. 
[...]

 
FORWARD per i pacchetti che passano attraverso la tua macchina, 
ma che non sono esplicitamente destinati a lei. 

Ad esempio una macchina che voglia condividere una connessione ad internet 
diventando un ponte (bridge) tra internet e la LAN locale, sarebbe attraversata 
nella catena di FORWARD nel momento in cui una macchina della LAN cercasse 
di connettersi, ad esempio, ad un sito web.

[...]
-j, --jump TARGET 
Questo specifica il target della regola, ossia il relativo pacchetto che descrive questo target. 
Il target puo' essere una catena definita dall'utente, nella quale puo' essere descritto 
un comportamento particolare o anche deciso subito il destino del pacchetto, 
oppure una delle possibili ESTENSIONI descritte in seguito. 

Se questa opzione non viene utilizzata nella descrizione della regola, 
allora il pacchetto non subisce nessuna azione. Il contatore di esecuzione di una regola 
verra' incrementato in entrambe le situazioni. 
[...]

Spero possa esserti stato utile per chiarire i concetti che usi
nella stesura delle tue politiche di firewalling.

[ DIDO RISPONDI ALLA MIA MAIL!!! :o) ]


# Ah si dimenticavo: comprendo che la stesura di uno script e qualcosa di molto 
# personale, c'è ci si trovo bene in un modo chi in un altro, ma cosa ne 
# pensate di questo sistema di gestire lo script ? lo sto provando, alle volte 
# mi da li dea di offrire una panoramica piu' chiara e netta, alle volte mi da 
# l'idea di essere piu' complesso e troppo lungo!!!

De gustibus non disputandum est.

-- 
# ===================================================================
# Manuel (R)ex Sanna
#--------------------------------------------------------------------
# I computer non servono a nulla. Danno solo risposte
#                                                 -- Pablo Picasso --
# ===================================================================



More information about the pluto-security mailing list