nella guida che ho letto io --syn seleziona solo le nuove connessioni, inoltre il punto escamativo credo che vada distanziato con uno spazio da --syn (! --syn). Non credo ceh possa essere usato come intenndi tu poichè " ! " non è propriamente una negazione ma una specie di "applica la regola a tutto ciò che non la rispetta", cioè quando è presente, la regla viene applicata a tutto ciò che non rispetta il comando ceh segue " ! ". Non so se mi sono spiegato...faccio un esempio:
<br><br>&nbsp; prendiamo in considerazione la regola incriminata, se fosse scritta nel seguente modo:<br><br>#iptables -I FORWARD -p tcp --syn --sport 80 -s <a href="http://127.30.1.1">127.30.1.1</a> -d <a href="http://172.30.3.1">
172.30.3.1</a> -j ACCEPT<br><br>&nbsp;permetterebbe tutte le nuove connessioni che hanno come sorgente la porta 80 e come ip sorgente il <a href="http://127.30.1.1">127.30.1.1</a> destinate all&#39;ip <a href="http://127.30.3.1">
127.30.3.1</a>. Inserendo invece un bel punto esclamativo prima del --syn (in questo modo: ! --syn) la ragola rifiuta tutte le connessioni nuove che hanno come porta sorgente la 80,&nbsp; ip <a href="http://127.30.1.1">127.30.1.1
</a> e destinate all&#39;ip <a href="http://127.30.3.1">127.30.3.1</a> e di accettare tutte le altre (quelle che nn trovano riscontro nelle specifiche della regola a meno che non siano bloccate da altre regole).<br><br><div>
<span class="gmail_quote">Il 27/03/07, <b class="gmail_sendername">forsaker</b> &lt;<a href="mailto:forsaker@gmail.com">forsaker@gmail.com</a>&gt; ha scritto:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Ciao tutti, grazie delle risposte<br>in realta&#39; la prima regola era quella di ACCEPT per le connessioni verso<br>la 80, il DROP era la policy di default... comunque ho scoperto che in<br>realta&#39; i pacchetti passavano, mi e&#39; bastato fare un tcpdump anche su
<br>judith1 :)... sono idiota io che mi ero dimenticato di mettere una<br>regola per i pacchetti di risposta che ovviamente venivano bloccati...<br>ora pero&#39; anche qui ho avuto dei problemi:<br><br>- avevo provato con:
<br># iptables -I FORWARD -p tcp --sport 80 -s <a href="http://172.30.1.1">172.30.1.1</a> -d <a href="http://172.30.3.1">172.30.3.1</a> -m<br>state --state ESTABLISHED,RELATED -j ACCEPT<br> che da quanto letto dovrebbe far passare solo i paccheti relativi ad
<br>una connessione gia&#39; avvenuta, pero&#39; mi dava l&#39;errore di cui parlava<br>Kumrah (ricontrollero&#39; se ho i moduli giusti nel kernel delle macchine<br>virtuali, che devo ammettere ho compilato un po&#39; a culo per fretta.
<br><br>- non funzionando quello gli ho dato un:<br># iptables -I FORWARD -p tcp --sport 80 !--syn -s <a href="http://172.30.1.1">172.30.1.1</a> -d<br><a href="http://172.30.3.1">172.30.3.1</a> -j ACCEPT<br><br>dove dalla man page ho appreso che --syn sta per --tcp-flags
<br>SYN,ACK,RST,FIN SYN. Ovvero SYN=1, e ACK,RST,FIN=0. Mettendo !--syn ho<br>supposto che sia SYN=0, e ACK,RST,FIN=1. Se questa supposizione fosse<br>vera, pero&#39; il pacchetto che il server manda in risposta alla richiesta
<br>di connessione (cioe&#39; un pacchetto con SYN=1 ACK=1) non dovrebbe<br>passare, e quindi la connessione non stabilirsi mai. Invece passa...<br>ho sbagliato io ad interpretare il !--syn?<br><br>grazie,saludos<br>andrea
<br><br>&gt; se non sbaglio, le regole contenute all&#39;interno delle catene predefinite<br>&gt; della tabella filter di iptables (input, output, forward) vengono lette<br>&gt; in maniera sequenziale! questo fa si che se tu droppi tutto e poi apri
<br>&gt; sulla 80, quando viene letta la regola per consentire il passaggio sulla<br>&gt; 80, è già stata letta l&#39;altra regola che blocca tutto, tra cui anche la<br>&gt; 80.<br>&gt; Prova a invertire l&#39;ordine delle regole: prima apri sulla 80 e poi
<br>&gt; droppi tutto.<br>&gt;<br>&gt; A occhio, questo potrebbe essere l&#39;arcano, prova e fai sapere..<br>&gt;<br>&gt; Byez .:Drav:.<br>&gt;<br>&gt; In data 26/3/2007, &quot;Kumrah&quot; &lt;<a href="mailto:kumrah84@gmail.com">
kumrah84@gmail.com</a>&gt; ha scritto:<br>&gt;<br>&gt; &gt;magari ti dico qualcosa ceh hai già fatto...però hai provato a vedere se i<br>&gt; &gt;moduli necessari siano stati caricati? prova a dare il comando da riga di<br>
&gt; &gt;comando, se ti da un errore con un codice simile a&nbsp;&nbsp;42944967295 molto<br>&gt; &gt;probabilmente non hai caricato il modulo che serve. Una lista indicativa dei<br>&gt; &gt;moduli da abilitare ( o da mettere built in) la&nbsp;&nbsp;puoi trovare qui:
<br>&gt; &gt;<a href="http://www.mod-xslt2.com/people/ccontavalli/docs-it/iptables/iptables4dummies/iptables4dummies-9.html">http://www.mod-xslt2.com/people/ccontavalli/docs-it/iptables/iptables4dummies/iptables4dummies-9.html
</a><br>&gt; &gt;<br>&gt; &gt;Il 26/03/07, forsaker &lt;<a href="mailto:forsaker@gmail.com">forsaker@gmail.com</a>&gt; ha scritto:<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; Ciao, espongo rapidamente il problema partendo dalla configurazione
<br>&gt; &gt;&gt; della mia mini rete di tre macchine virtuali:<br>&gt; &gt;&gt; judith1: <a href="http://172.30.1.1">172.30.1.1</a><br>&gt; &gt;&gt; judith2: <a href="http://172.30.1.254">172.30.1.254</a> <a href="http://172.30.3.254">
172.30.3.254</a><br>&gt; &gt;&gt; judith3: <a href="http://172.30.3.1">172.30.3.1</a><br>&gt; &gt;&gt;<br>&gt; &gt;&gt; come potete immaginare judith2 fa la parte del router tra la rete<br>&gt; &gt;&gt; <a href="http://172.30.1.0/24">
172.30.1.0/24</a> e <a href="http://172.30.3.0/24">172.30.3.0/24</a>.<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; Ora su judith2 ho messo queste due regole:<br>&gt; &gt;&gt; iptables -P FORWARD DROP<br>&gt; &gt;&gt; iptables -I FORWARD -p tcp --dport 80 -s 
<a href="http://172.30.3.1">172.30.3.1</a> -d <a href="http://172.30.1.1">172.30.1.1</a> -j<br>&gt; &gt;&gt; ACCEPT<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; che _dovrebbe_ da quanto ne so bloccare tutto il traffico tra judith1 e
<br>&gt; &gt;&gt; judith3 tranne quello che va da judith3 a judith1 diretto alla 80...<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; ora, tutto il traffico lo blocca, ma pare bloccare anche i suddetti<br>&gt; &gt;&gt; pacchetti: difatti se da judith3 faccio $ telnet 
<a href="http://172.30.1.1">172.30.1.1</a> 80 (si c&#39;e&#39;<br>&gt; &gt;&gt; un webserver su judith1) non passa niente, e il counter dei pacchetti<br>&gt; &gt;&gt; droppati su judith2 sale..<br>&gt; &gt;&gt; Ho provato a vedere cosa arriva su judith2 con
<br>&gt; &gt;&gt; $ tcpdump src host <a href="http://172.30.3.1">172.30.3.1</a> and dst host <a href="http://172.30.1.1">172.30.1.1</a> and tcp dst port<br>&gt; &gt;&gt; 80<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; e effettivamente gli arrivano i pacchetti giusti di questo tipo:
<br>&gt; &gt;&gt; 10:53:43.908718 IP 172.30.3.1.4801 &gt; 172.30.1.1.www: S<br>&gt; &gt;&gt; 1423229373:1423229373(0) win 5840 &lt;mss 1460,sackOK,timestamp 877866<br>&gt; &gt;&gt; 0,nop,wscale 1&gt;<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; dov&#39;e&#39; l&#39;arcano?
<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; grazie e saluti, andrea<br>&gt; &gt;&gt;<br>&gt; &gt;&gt;<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; --<br>&gt; &gt;&gt; Mailing list info: <a href="http://lists.linux.it/listinfo/lugcb">http://lists.linux.it/listinfo/lugcb
</a><br>&gt; &gt;&gt;<br>&gt;<br>&gt; =======================================================<br>&gt; we are the peoples of a world within the world, we are the digital image<br>&gt; of every bit of data in cyberspace...<br>
&gt; =======================================================<br>&gt;<br><br><br>--<br>Mailing list info: <a href="http://lists.linux.it/listinfo/lugcb">http://lists.linux.it/listinfo/lugcb</a><br></blockquote></div><br>