iptables e concetto che non capisco

29-09-2005, 16:55

salve gente, in una lan di un mio amico vi era un pc che faceva da server, era connesso su internet con un modem ed aveva 1 scheda di rete che gestiva 2 net con le virtual nic (eth0:0), faceva anche da server dhcp e da proxy server. ho spulciato il firewall_server.sh e non riesco a capire una cosa , mi chiedo:
queste regole

Codice:

iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24  --dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT

non sono inutili nel contesto(vedi sotto)?
cioè non riesco a capire sta cosa, prendiamo come esempio la prima regola che ho citato, non è inutile? non si dovrebbe gia comportare cosi di default? cioè i pacchetti icmp attraversano di default la catena di prerouting, come anche tutte le altre regole qui sopra riportate....non capisco
illuminatemi vi prego

firewall.sh:

Codice:

#!/bin/bash

set -x

#Carico Moduli
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc

#Flush catene
iptables -X
iptables -Z
iptables -F
iptables -t nat -F
iptables -t mangle -F


#Regole Kernel
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#/bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians


#Policy di Default
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


#PREROUTING
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24 --dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.100.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 80 -i eth1 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -j DROP

_YTS_ · 29-09-2005, 20:09

allora...

a parte il fatto che ha un accept sulle catene quindi le regole non ti servono nemmeno, alcune almeno.

quella utile che capisco è questa:

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

non capisco perche appende poi in POSTROUTING degli accept per delle porte normalissime ecc...

cmq dovresti vedere quali delle catene logga effettivamente qualcosa e cosa no.

cmq avendo due nic anche se una virtuale, avrei usato la forward come catena e avrei descritto le regole li.

da mettere apposto.

ciao

29-09-2005, 20:09	#2
_YTS_ Senior Member Iscritto dal: Oct 2003 Città: La Spezia Messaggi: 962	allora... a parte il fatto che ha un accept sulle catene quindi le regole non ti servono nemmeno, alcune almeno. quella utile che capisco è questa: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE non capisco perche appende poi in POSTROUTING degli accept per delle porte normalissime ecc... cmq dovresti vedere quali delle catene logga effettivamente qualcosa e cosa no. cmq avendo due nic anche se una virtuale, avrei usato la forward come catena e avrei descritto le regole li. da mettere apposto. ciao __________________ Gigabyte ga-p55-ud6 \| Intel i7 860 \| 2x2gb Corsair xms3 \| Adaptec 2410sa \| raid1 barracuda 500gb 7200.12 \| Intel x25-m 80gb G2 \| ATI radeon 4890 \| tutto in downclock (non ho parenti all'enel)

Strumenti
Mostra una versione stampabile Invia questa pagina per email