[Pluto-security] (R)ex : Problema di firewall

Tom aka 'Dido' dido at sicurweb.com
Mon Mar 3 20:21:52 CET 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao!

> Ho messo su un firewall su una macchina che ha eth0 collegata alla rete
> privata, e ppp0 collegata al mondo.

Saggia scelta!

> Quando metto su il firewall che mi consente di mascherare gli indirizzi
> interni, accade questo :
>
> 1) Il computer locale diventa lento [ZERO - :o)]
> // Solo per aprire konqueror ci mette 1min!!!
> // Contro 1sec. di default..
>
> 2) Non riesco piu' a risolvere i nomi [ZERO - port : domain]

Il problema 1 è causato dal problema 2!

> 4) L'area locale [192.168.0.0/24] funziona a meraviglia [NEO - :o)]

Cioè naviga, risolve i nomi, ecc?

> ======================================================================
> Stato di iptables
<cut>

Scusa, so che è un mio limite, ma... io faccio una fatica bestia a capire le 
regole di iptables da qui.. potresti postare lo script con cui generi le 
regole? Scusa, ma mi aiuterebbe...


> ======================================================================
> Chain INPUT (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0    // loopback
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0    // eth0
> DROP       all  --  0.0.0.0/0            0.0.0.0/0    // ppp+

Secondo me, quando fai una query dns il pacchetto esce (output accept), ma poi 
non rientra (input drop).
Io proverei in uno di questi due modi:
iptables -I INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
oppure
iptables -I INPUT -i ppp+ -p udp --sport 53 -j ACCEPT
(ma preferisco la prima)
 
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state
> NEW,RELATED,ESTABLISHED ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
> // eth0

Infatti, la connection tables la usi solo nel forward....
Prova, magari funge! Famme sape'...

Ciao!

- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+Y6tQQe/GGXXd6zQRAg43AJkBk4CznmNLjMCPw/pUVWNlabjlAwCeNqof
7tz0iVoRQXfBUXeBsJTe1bc=
=dHCr
-----END PGP SIGNATURE-----

More information about the pluto-security mailing list