[Primipassi] Iptables

Aldo Podavini a.podavini@mclink.it
Gio 26 Feb 2004 15:30:27 CET 

Ciao Manuel :-)

Allora:

1) tu lasci passare il traffico che esce dalla LAN e che va verso 
Internet (iptables -A FORWARD -p tcp --dport 80 -j ACCEPT), ma le pagine 
che poi ti tornano indietro le stoppi ! ( iptables -A FORWARD -p tcp -j 
DROP ).
E poi: specifica sempre (almeno per una questione di ordine...) la 
direzione del forward.

E quindi (così, "a braccio", spero di non aver fatto errori) :

IF_LAN=eth0
IF_WAN=eth1
iptables -P FORWARD 
DROP                                                                             
# Perche' ACCEPT ?!?
iptables -t filter -A FORWARD -i $IF_LAN -o $IF_WAN -p tcp --dport 80  
-j ACCEPT
iptables -t filter -A FORWARD -i $IF_LAN -o $IF_WAN -p tcp --dport 443 
-j ACCEPT                     # e le pagine HTTPS ...?
iptables -t filter -A FORWARD -i $IF_WAN -o $IF_LAN -m state --state 
ESTABLISHED,RELATED -j ACCEPT   # Ossia il ritorno

2) Hai sempre lo SNAT impostato in POSTROUTING, vero ? E' indispensabile 
per permettere al gateway "esterno" di rimandarti le pagine di ritorno:

iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE

3) Quando avrai finito di studiarti SQUID tutto questo non servirà più :-)

Ciao
Aldo



manuel17@libero.it wrote:

>Ma quanto rompo...
>Con i preziosi consigli di Aldo ora funzia tutto e sono passato alla
>configurazione del firewall.
>L'idea innanzitutto era di bloccare tutto il traffico tranne l'http. Così ho
>scritto le seguenti regole di iptables:
>
># iptables -P FORWARD DROP
># iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>
>Così però il traffico http non passa... Non capendo perché ho provato una
>seconda soluzione:
>
># iptables -P FORWARD ACCEPT
># iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
># iptables -A FORWARD -p tcp -j DROP
># iptables -A FORWARD -p udp -j DROP
>
>
>Con l'idea che tutto il traffico che non è diretto alla porta 80 venga lasciato
>cadere. Purtroppo anche questa soluzione non funziona... Why?
>Anche perché finché non metto il comando di drop, facendo un "iptables -L -n -v"
>vedo che il traffico http è intercettato dalla regola "-p tcp --dport 80 -j ACCEPT".
>
>Immagino di essere io a non aver capito come funziona iptables. Dai vari
>tutorial e dalle man pages però sembrerebbe corretta come idea.
>
>Grazie per l'aiuto,
>Manuel
>
>P.S.
>Squid sto ancora studiando, cmq ho trovato dove mi dicevi. Grazie Aldo!
>
>_______________________________________________
>FLUG primipassi con Linux - primipassi@firenze.linux.it
>Policy: http://www.firenze.linux.it/primipassi/policy_html
>URL: http://lists.firenze.linux.it/mailman/listinfo/primipassi
>Archivio:  http://lists.firenze.linux.it/pipermail/primipassi/
>Ricerca nell'archivio: http://www.firenze.linux.it/search
>
>  
>

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        smime.p7s
Tipo:        application/x-pkcs7-signature
Dimensione:  3060 bytes
Descrizione: S/MIME Cryptographic Signature
URL:         <http://lists.linux.it/pipermail/primipassi/attachments/20040226/196b18db/attachment.bin>

Maggiori informazioni sulla lista primipassi