[IPTABLES]domanda semplice sull ordìne delle regole

[toni00t]

ciao ; sto studiando la regola della sequenzialità delle catene in iptables e ho un problema
se imposto la dport e la sport nella stessa regola non riesco a efettuare connessioni o inviare paccheti

tutte le policy sono di default a DROP

sudo iptables -F
sudo iptables -I INPUT -p udp --sport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT
sudo iptables -I INPUT -p udp --dport 53 -j ACCEPT
nslookup www.mondoxbox.com
Server: 127.0.1.1
Address: 127.0.1.1#53

così funziona e queste sono le catene

sudo iptables -L INPUT -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

sudo iptables -L OUTPUT -n
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

perchè così non va invece ?



sudo iptables -F
sudo iptables -I OUTPUT -p udp --sport 53 --dport 53 -j ACCEPT
sudo iptables -I INPUT -p udp --sport 53 --dport 53 -j ACCEPT


qualcuno mi può aiutare ? grazie

[Dane]

Quote:

Originariamente inviato da toni00t

sudo iptables -I INPUT -p udp --sport 53 -j ACCEPT

accetta in input le "connessioni" udp che hanno come porta sorgente la porta 53. In pratica nessuna

Quote:

sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT

accetta tutte le "connessioni" in uscita verso la 53 (qualsiasi richiesta dns che fai)

Quote:

sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT

accetta qualsiasi "connessione" in uscita dalla 53 (praticamente le risposte da un tuo server dns)

Quote:

sudo iptables -I INPUT -p udp --dport 53 -j ACCEPT

accetta qualsiasi "connessione" in entrata verso la porta 53 (utile se hai un server dns esposto)

Quote:

nslookup www.mondoxbox.com
Server: 127.0.1.1
Address: 127.0.1.1#53

Se lo provi con un server dns esterno (non localhost) le regole sopra hanno molto più senso.

Quote:

sudo iptables -I OUTPUT -p udp --sport 53 --dport 53 -j ACCEPT
sudo iptables -I INPUT -p udp --sport 53 --dport 53 -j ACCEPT

se "interpreti" sport e dport come selettori allora vedrai che queste due regole processano le "connessioni" che hanno sia la porta sorgente che destinazione la 53. Cosa che non succede praticamente mai.
Le query dns hanno come porta sorgente una qualsiasi, mentre la destinazione è la 53.

In pratica non dovresti considerare sport.


Usa iptables -Lnv per vedere i contatori ;-)

[toni00t]

ciao , grazie della risposta : non sono riuscito a mettere in pratica quanto hai scritto così ho passato la notte nel web
http://blog.jgriffiths.org/?p=132

ho trovato la soluzione : in uscita dport 53 e in e input sport 1024-65535,funziona

[Dane]

scusami ho sbagliato: non dovresti considerare sport in output e dport in input, per uscire con query dns.

Così dovrebbe andare (il range 1024-65535 del link non conta un granchè):
sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I INPUT -p udp --sport 53 -j ACCEPT

[gurutech]

Quote:

Originariamente inviato da toni00t

ciao , grazie della risposta : non sono riuscito a mettere in pratica quanto hai scritto così ho passato la notte nel web
http://blog.jgriffiths.org/?p=132

ho trovato la soluzione : in uscita dport 53 e in e input sport 1024-65535,funziona

funziona, ma è equivalente a non specificare nessuna sport. I client si assegnano dinamicamente una porta che va in quel range

EDIT: aggiungo: se stai cercando di studiare un firewall monodirezionale (tutto quello che è in lan va fuori e non viceversa se la connessione non inizia da dentro), puoi provare a dare una occhiata al modulo state. è una delle cose più potenti di iptables, a parer mio

iptables -A FORWARD --state NEW,RELATED,ESTABLISHED -p tcp --dport 80 --src mia.rete.ind.ip/subnet -j ACCEPT
iptables -A FORWARD --state RELATED,ESTABLISHED -p tcp --sport 80 --dst mia.rete.ind.ip/subnet -j ACCEPT