[PLUTO-security] [iptables] - curiosita' sui log

Piviul pluto a flanet.org
Ven 23 Apr 2004 13:19:14 CEST 

Non ho ben capito nel senso che... non NATTI?

Tanimodi...

Alessandro R. wrote:
> Ciao a tutti,
> voglio porvi una questione curiosa (o forse nn ho capito bene io)..
>  
> allora, lo scenario è il seguente:
> 
> routerino/modem ADSL come centro stella della mia lan interna
> direttamente connesso ad una macchina che fa da firewall (proximamente ipsec :P) per la lan
> wireless.
>  
> Ora, sto pasticciando con il firewall e ho dato queste regole:
>  
> iptables -P FORWARD DROP
Fin qui tutto ok, stai mettendo come policy di default di droppare tutto.

> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
Così stai facendo il FORWARD dei pacchetti sulla porta 80 sia dalla tua 
LAN verso INTERNET, che da INTERNET verso la tua LAN (che non ti serve 
assolutamente a meno che tu abbia un server web che deve essere 
raggiunto... ma dove dal momento che non lo specifichi?). Se vuoi che i 
tuoi client utilizzino solo la porta 80 devi aggiungere -i $ETH-LAN 
(dove $ETH-LAN contiene la eth della tua rete)

> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Così stai facendo il FORWARD dei pacchetti sia dalla tua LAN verso 
INTERNET che viceversa, ma solo nel caso in cui la connessione sia già 
stabilita o relativa. Questo vuol dire che da INTERNET non ti arriverà 
niente a meno che sia tu a richiedere la connessione, ma sulla porta 80 
passerà di tutto, per la regola numero 2. Dalla tua LAN sarà la stessa 
cosa, i tuoi client riusciranno solo a navigare nel Web, ma non potranno 
fare altro in quanto fai passare solo connessioni sulla porta 80 (sempre 
per regola numero 2).

> iptables -A FORWARD -j LOG --log-prefix "FORWARD Decision "

Il log non ti funziona perchè questa regola va messa prima di fare il 
FORWARD dei pacchetti... Quindi la devi scrivere subito dopo la regola 
numero 1 (quella che Droppa tutto di default). Il motivo di tutto ciò è 
che le regole vengono "lette" una ad una, dalla prima all'ultima. Quando 
  una regola viene soddisfatta con ACCEPT, DROP ecc. (tranne LOG 
appunto) le regole successive vengono ignorate. Se si arriva alla fine 
della catena senza che nessuna regola venga soddisfatta viene applicata 
la policy di default in questo caso DROP.

Auguri

Piviul

Maggiori informazioni sulla lista pluto-security