[Tech] Stranezza su IPTables
Gianni Bianchini
giannibi@firenze.linux.it
Mar 3 Lug 2001 21:26:28 CEST
On Tue, Jul 03, 2001 at 05:16:23PM -0400, St0rM wrote:
> In pratica, io pensavo che il pacchetto di ritorno dopo il MASQ
> attraversasse le regole in quest'ordine:
> INPUT->(cambio di IP destinatario) ->OUTPUT
> invece sembra seguire quest'altro ordine:
> (cambio di IP destinatario)->FORWARD
> come un normale pacchetto forwardato.
>
> Questo e' un problema perche' mi costringe a ELIMINARE quella regola. E
> se conosco bene come credo le reti, chiunque a questo punto SAPENDO come
> e' fatta la mia rete puo' usare GW come SUO gateway ed accedere a tutti
> gli indirizzi di rete locale, no?
Non ti so chiarire i dettagli del comportamento di iptables, anche se
il mascheramento inverso dovrebbe aver luogo prima di entrare nella
catena di INPUT se usi il source NAT, quindi la tua macchina "vede" a
tutti gli effetti il pacchetto con destination address appartenente
alla rete interna.
A questo punto e' chiaro che con una regola come quella che tu metti
in FORWARD, si blocca tutto il traffico destinato alla rete interna e
proveniente dall'esterno.
Il perche' tu metta quella regola mi e' oscuro (a parte forse la
presenza di source routing, che avrai cura di disabilitare) poiche' dubito
fortemente che la rete a monte instradi verso la tua interfaccia
esterna pacchetti con destinazione 192.168.0.0/16 (non capisco "usare
GW come SUO gateway"). In ogni caso tale
interfaccia non li vedrebbe come suoi, a meno che tu non la configuri
in modo promiscuo e faccia di tutto per farglieli vedere (e instradare
:o). Mi sbaglio?
Ciao.
Gianni.
--
Gianni Bianchini - giannibi@firenze.linux.it
giannibi@iname.com
Maggiori informazioni sulla lista
flug-tech