proprio ieri ho configurato per la prima volta iptables, un po ostico all'inizio ma una volta capito il ragionamento che c'è dietro diventa semplice, pulito, e veloce da configurare :)
da neofita, però, ho qualche domanda.........
- l'ho configurato in modo che faccia transitare verso internet solo il traffico web, ftp, e per il dns, il problema è che funziona tutto, ma essendo il fw anche un server dhcp, ho dovuto, giustamente, aprire le porte udp 67 e 68 (che sono quelle che vengono usate dal dhcp), ma perchè le ho dovute aprire SIA in input CHE in output? se le aprivo solo in input i client dhcp non si prendevano l'ip...
- mi spiegate cosa significa una regola del genere?
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
laninet è la regola per il traffico che va dalla lan a internet, non ho capito dal --reject in poi :confused:

grazie in anticipo :)

il problema è che funziona tutto, ma essendo il fw anche un server dhcp, ho dovuto, giustamente, aprire le porte udp 67 e 68 (che sono quelle che vengono usate dal dhcp), ma perchè le ho dovute aprire SIA in input CHE in output?
Credo che sia sufficiente aprire la 67 in ingresso e la 68 in uscita.

- mi spiegate cosa significa una regola del genere?
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
Il reject indica il messaggio icmp da recapitare al destinatario. In pratica stai buttando giu il tentativo di connessione restituendo un errore di "connessione resettata". Il client può fare con questa informazione quello che vuole, anche le patatine fritte.

Credo che sia sufficiente aprire la 67 in ingresso e la 68 in uscita.

capito.

Il reject indica il messaggio icmp da recapitare al destinatario.

capito.

In pratica stai buttando giu il tentativo di connessione restituendo un errore di "connessione resettata". Il client può fare con questa informazione quello che vuole, anche le patatine fritte.

non ho capito a cosa serve,però :confused:
in pratica, sto dicendo a iptables: qualsiasi connessione che va dalla lan a internet e usa come protocollo il tcp la rifiuti e dai come messaggio al client "connessione resettata" ?
quella regola è ovviamente messa dopo quelle che permettono le connessioni www,ftp,smtp,pop3,e dns, ovviamente, ma a cosa serve se la policy di default è DROP ? è un "di più" o ho capito male ?

in pratica, sto dicendo a iptables: qualsiasi connessione che va dalla lan a internet e usa come protocollo il tcp la rifiuti e dai come messaggio al client "connessione resettata" ?
quella regola è ovviamente messa dopo quelle che permettono le connessioni www,ftp,smtp,pop3,e dns, ovviamente, ma a cosa serve se la policy di default è DROP ? è un "di più" o ho capito male ?
Se usi la policy DROP, il client non viene notificato dello scarto dei pacchetti. Quindi, se un programma tenta di accedere su una porta proibita, rimarrà imbambolato in attesa di risposta, finché il tentativo di connessione andrà in timeout.
Con REJECT il client viene informato immediatamente dell'impossibilità di stabilire una connessione. Come norma di sicurezza, i pacchetti provenienti dall'esterno dovrebbero essere scartati con DROP (così il client non saprà mai se la porta è chiusa, filtrata o altro); i pacchetti provenienti dall'interno puoi tranquillamente rifiutarli con REJECT.

Se usi la policy DROP, il client non viene notificato dello scarto dei pacchetti. Quindi, se un programma tenta di accedere su una porta proibita, rimarrà imbambolato in attesa di risposta, finché il tentativo di connessione andrà in timeout.
Con REJECT il client viene informato immediatamente dell'impossibilità di stabilire una connessione. Come norma di sicurezza, i pacchetti provenienti dall'esterno dovrebbero essere scartati con DROP (così il client non saprà mai se la porta è chiusa, filtrata o altro); i pacchetti provenienti dall'interno puoi tranquillamente rifiutarli con REJECT.


sei stato chiarissimo, grazie mille!:)