[IPTABLES] Mi spiegate questa cosa?

riaw · 21-06-2005, 08:39

proprio ieri ho configurato per la prima volta iptables, un po ostico all'inizio ma una volta capito il ragionamento che c'è dietro diventa semplice, pulito, e veloce da configurare

da neofita, però, ho qualche domanda.........
- l'ho configurato in modo che faccia transitare verso internet solo il traffico web, ftp, e per il dns, il problema è che funziona tutto, ma essendo il fw anche un server dhcp, ho dovuto, giustamente, aprire le porte udp 67 e 68 (che sono quelle che vengono usate dal dhcp), ma perchè le ho dovute aprire SIA in input CHE in output? se le aprivo solo in input i client dhcp non si prendevano l'ip...
- mi spiegate cosa significa una regola del genere?
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
laninet è la regola per il traffico che va dalla lan a internet, non ho capito dal --reject in poi

grazie in anticipo

ilsensine · 21-06-2005, 10:12

Quote:

Originariamente inviato da riaw

il problema è che funziona tutto, ma essendo il fw anche un server dhcp, ho dovuto, giustamente, aprire le porte udp 67 e 68 (che sono quelle che vengono usate dal dhcp), ma perchè le ho dovute aprire SIA in input CHE in output?

Credo che sia sufficiente aprire la 67 in ingresso e la 68 in uscita.

Quote:

- mi spiegate cosa significa una regola del genere?
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset

Il reject indica il messaggio icmp da recapitare al destinatario. In pratica stai buttando giu il tentativo di connessione restituendo un errore di "connessione resettata". Il client può fare con questa informazione quello che vuole, anche le patatine fritte.

riaw · 21-06-2005, 10:20

Quote:

Originariamente inviato da ilsensine

Credo che sia sufficiente aprire la 67 in ingresso e la 68 in uscita.

capito.

Quote:

Originariamente inviato da ilsensine

Il reject indica il messaggio icmp da recapitare al destinatario.

capito.

Quote:

Originariamente inviato da ilsensine

In pratica stai buttando giu il tentativo di connessione restituendo un errore di "connessione resettata". Il client può fare con questa informazione quello che vuole, anche le patatine fritte.

non ho capito a cosa serve,però

in pratica, sto dicendo a iptables: qualsiasi connessione che va dalla lan a internet e usa come protocollo il tcp la rifiuti e dai come messaggio al client "connessione resettata" ?
quella regola è ovviamente messa dopo quelle che permettono le connessioni www,ftp,smtp,pop3,e dns, ovviamente, ma a cosa serve se la policy di default è DROP ? è un "di più" o ho capito male ?

ilsensine · 21-06-2005, 10:52

Quote:

Originariamente inviato da riaw

in pratica, sto dicendo a iptables: qualsiasi connessione che va dalla lan a internet e usa come protocollo il tcp la rifiuti e dai come messaggio al client "connessione resettata" ?
quella regola è ovviamente messa dopo quelle che permettono le connessioni www,ftp,smtp,pop3,e dns, ovviamente, ma a cosa serve se la policy di default è DROP ? è un "di più" o ho capito male ?

Se usi la policy DROP, il client non viene notificato dello scarto dei pacchetti. Quindi, se un programma tenta di accedere su una porta proibita, rimarrà imbambolato in attesa di risposta, finché il tentativo di connessione andrà in timeout.
Con REJECT il client viene informato immediatamente dell'impossibilità di stabilire una connessione. Come norma di sicurezza, i pacchetti provenienti dall'esterno dovrebbero essere scartati con DROP (così il client non saprà mai se la porta è chiusa, filtrata o altro); i pacchetti provenienti dall'interno puoi tranquillamente rifiutarli con REJECT.

riaw · 21-06-2005, 11:06

Quote:

Originariamente inviato da ilsensine

Se usi la policy DROP, il client non viene notificato dello scarto dei pacchetti. Quindi, se un programma tenta di accedere su una porta proibita, rimarrà imbambolato in attesa di risposta, finché il tentativo di connessione andrà in timeout.
Con REJECT il client viene informato immediatamente dell'impossibilità di stabilire una connessione. Come norma di sicurezza, i pacchetti provenienti dall'esterno dovrebbero essere scartati con DROP (così il client non saprà mai se la porta è chiusa, filtrata o altro); i pacchetti provenienti dall'interno puoi tranquillamente rifiutarli con REJECT.

sei stato chiarissimo, grazie mille!

21-06-2005, 08:39	#1
riaw Senior Member Iscritto dal: Sep 2000 Città: lodi-crema-milano. Messaggi: 12341	[IPTABLES] Mi spiegate questa cosa? proprio ieri ho configurato per la prima volta iptables, un po ostico all'inizio ma una volta capito il ragionamento che c'è dietro diventa semplice, pulito, e veloce da configurare da neofita, però, ho qualche domanda......... - l'ho configurato in modo che faccia transitare verso internet solo il traffico web, ftp, e per il dns, il problema è che funziona tutto, ma essendo il fw anche un server dhcp, ho dovuto, giustamente, aprire le porte udp 67 e 68 (che sono quelle che vengono usate dal dhcp), ma perchè le ho dovute aprire SIA in input CHE in output? se le aprivo solo in input i client dhcp non si prendevano l'ip... - mi spiegate cosa significa una regola del genere? iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset laninet è la regola per il traffico che va dalla lan a internet, non ho capito dal --reject in poi grazie in anticipo __________________ La teoria è quando si sa tutto e niente funziona. La pratica è quando tutto funziona e nessuno sa il perché. Noi abbiamo messo insieme la teoria e la pratica: non c'è niente che funzioni... e nessuno sa il perché!

Strumenti
Mostra una versione stampabile Invia questa pagina per email