[PLUTO-security] Firewall: un chiarimento!
Tom aka 'Dido'
tom at pluto.linux.it
Mon Apr 28 01:06:42 CEST 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Sunday 27 April 2003 23:10, siggy wrote:
> Ciao,
>
> se non dico una stupidaggine, immagino che all'interno della catena
> FORWARD tu abbia inserito il jump alle tue catene personalizzate, in base
> al tipo di traffico che passa.
>
> Allora basta inserire la regola 'comune' prima delle regole di jump e
> automaticamente
> la regola viene eseguita prima del jump e quindi per tutte e tre le catene
> personalizzate.
Beh, solo un piccolo appunto: se la metti prima del jump alla "sub-catena"
specifica, il pacchetto incontra quella regola e esce. indi, non va alle
sub-catene. E non credo sia questo quello che vuoi. Se vuoi che faccia il
controllo comune e poi torni alle altre, crea una nuova catena e inserisci un
return. es:
iptables -N common
iptables -t common -p icmp --icmp-type 3,11 -j ACCEPT
iptables -t common -j RETURN
Spiego: mettiamo che tu decida che per ogni catena, tu voglia dire che vuoi
fare passare suddetti icmp
(per chi non ha studiato,
type 3: unreachables
type 11: time exceeded
Se non li fate passare, siete dei cattivoni che violano alcune rfc del
pacchetto tcp e non sfruttano in windowing del tcp. Chiuso l'inciso)
allora tu metti le righe qui sopra all'inizio, e i pacchetti che arrivano li
passi prima in common. Loro vengono analizzati, ma ritornano a essere
sottoposti alle regole anche se risultano "buoni".
Spero di essermi spiegato, sono un po' cotto...
- -------------------------------------
Dido
PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE+rFRyQe/GGXXd6zQRAhUGAKCsK8cu/E4bMo459FrX2p+sjhXHLACeKqKO
Uo3GdjDFiz0I8L4tdxngnzI=
=kd/J
-----END PGP SIGNATURE-----
More information about the pluto-security
mailing list