[PLUTO-security] [iptables] - curiosita' sui log

[Luca Sollazzo]

On Friday 23 April 2004 13:28, Tailgunner75 wrote:

Chiedo scusa per il precedente messaggio; era illeggibile e me ne sono reso 
conto troppo tardi... cerco di riparare ripostando in forma più 
presentabile... :)

> > Alessandro R. wrote: 

> > Ciao a tutti, voglio porvi una questione curiosa (o forse nn ho capito 
> > bene io).. allora, lo scenario è il seguente: routerino/modem ADSL come
> > centro stella della mia lan  interna direttamente connesso ad  una 
> > macchina che fa da firewall (proximamente ipsec :P) per la lan
> > wireless. Ora, sto pasticciando con il firewall e ho dato queste regole:

allora le regole sono:
4) iptables -P FORWARD DROP
1) iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
2) iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
3) iptables -A FORWARD -j LOG --log-prefix "FORWARD Decision"

la policy predefinita viene consultata per ultima...
per le altre...

1) consenti tutte le connessioni tcp transito con porta di destinazione 80 > 
(e solo quelle...)

2)consenti le connessioni stabilite e relative ad altre esistenti (e solo 
quelle)

3) logga tutto

a questo punto, naviga verso un web server:
A) il tuo pc manda un pacchetto syn verso il web server,
B) tale pacchetto viene  lasciato passare dalla regola 1, ed arriva al web 
server
C) il web server risponde con un syn ack 
D) il firewall lascia passare la connessione in base alla   regola 2
E) il tuo pc risponde con un ack
F) il firewall fa passare il pacchetto in base alla regola 1 (lo lascerebbe 
passare anche in base alla 2...)
>
e via così.... la regola di Log non verrà mai interessata perchè il target 
ACCEPT interrompe la catena.

ora prova a scaricare la posta da un server pop3 ... :)

Ciao,
 Luca
>