[PLUTO-security] [iptables] - curiosita' sui log

[Alessandro R.]

On Fri, Apr 23, 2004 at 12:19:14PM +0200, Piviul wrote:
> Non ho ben capito nel senso che... non NATTI?
NO e' un NAT vero e proprio..Ho tralasciato le regole di NAT perche'
le davo per scontate...Se non era chiaro chiedo scusa :P
> 
> Tanimodi...
> 
> Alessandro R. wrote:
> >Ciao a tutti,
> >voglio porvi una questione curiosa (o forse nn ho capito bene io)..
> > 
> >allora, lo scenario è il seguente:
> >
> >routerino/modem ADSL come centro stella della mia lan interna
> >direttamente connesso ad una macchina che fa da firewall (proximamente 
> >ipsec :P) per la lan
> >wireless.
> > 
> >Ora, sto pasticciando con il firewall e ho dato queste regole:
> > 
> >iptables -P FORWARD DROP
> Fin qui tutto ok, stai mettendo come policy di default di droppare tutto.
> 
> >iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> Così stai facendo il FORWARD dei pacchetti sulla porta 80 sia dalla tua 
> LAN verso INTERNET, che da INTERNET verso la tua LAN (che non ti serve 
> assolutamente a meno che tu abbia un server web che deve essere 
> raggiunto... ma dove dal momento che non lo specifichi?). Se vuoi che i 
> tuoi client utilizzino solo la porta 80 devi aggiungere -i $ETH-LAN 
> (dove $ETH-LAN contiene la eth della tua rete)
Quindi mi dici che questa regola e' inutile a meno che io nn abbia un webserver nella
mia LAN?
 
> >iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> Così stai facendo il FORWARD dei pacchetti sia dalla tua LAN verso 
> INTERNET che viceversa, ma solo nel caso in cui la connessione sia già 
> stabilita o relativa. Questo vuol dire che da INTERNET non ti arriverà 
> niente a meno che sia tu a richiedere la connessione, ma sulla porta 80 
> passerà di tutto, per la regola numero 2. Dalla tua LAN sarà la stessa 
> cosa, i tuoi client riusciranno solo a navigare nel Web, ma non potranno 
> fare altro in quanto fai passare solo connessioni sulla porta 80 (sempre 
> per regola numero 2).
> 
ok
> >iptables -A FORWARD -j LOG --log-prefix "FORWARD Decision "
> 
> Il log non ti funziona perchè questa regola va messa prima di fare il 
> FORWARD dei pacchetti... Quindi la devi scrivere subito dopo la regola 
> numero 1 (quella che Droppa tutto di default). Il motivo di tutto ciò è 
> che le regole vengono "lette" una ad una, dalla prima all'ultima. Quando 
>  una regola viene soddisfatta con ACCEPT, DROP ecc. (tranne LOG 
> appunto) le regole successive vengono ignorate. Se si arriva alla fine 
> della catena senza che nessuna regola venga soddisfatta viene applicata 
> la policy di default in questo caso DROP.
>
Immaginavo anche io di doverla mettere come prima regola (anche dopo il commento
di Stefano)..
Ci provo e poi vi dico ;)
> Auguri
> 
:| Grazie mille delle risposte ;)

-- 
Alessandro R.               (alexerre a yahoo.it)
Student at Computer Science Dept.
University of Milano
hp. http://www.silab.dsi.unimi.it/~ar637734