[Tech] Stranezza su IPTables

[Gianni Bianchini]

On Tue, Jul 03, 2001 at 10:17:13PM +0200, Christopher R. Gabriel wrote:

>     Gianni> Il modo promiscuo non c'entra nulla e in effetti una
>     Gianni> macchina sulla stessa rete esterna (in assenza cioe' di un
>     Gianni> router "decente" a monte) potrebbe usarla come GW la
>     Gianni> macchina...  Mi sa che c'e' qualche dettaglio di iptables
>     Gianni> in proposito. Cerchero'.

In ogni caso la macchina GW potrebbe si' ricevere pacchetti ed inoltrarli
alla rete interna, pero' le risposte apparirebbero in ogni caso
generate dall'indirizzo esterno, con la conseguente impossibilita' di
stabilire ad es. una connessione TCP regolare, a meno di comportamenti
volutamente maligni da parte dello stack del client che dovrebbe
riconoscere nei pacchetti che riceve da GW le risposte alle sue
richieste e gestirle opportunamente senza scartarle.
Sembrerebbe poter essere un problema per comunicazioni "one shot" di
tipo UDP, in cui per sortire un qualche effetto basta che il client mandi
pacchetti al server (interno) senza necessariamente doverne ricevere risposta.
In questo caso uno puo' fare dei filtraggi ad hoc (ad es. droppare
pacchetti TCP con SYN se provenienti dall'esterno e diretti alle macchine
interne) o filtrare l'UDP ove non serva (cosa che si fa normalmente).

Ma sono convinto che mi sfugga ancora qualcosa.

> chiCKEnS ChIcKEnS CHickenS CHiCkens cHickens cHICkEns cHiCkEns chickEn
> chicKEN CHICkEN chICkEN chICkEN ChiCkEN ChickEn

TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy
tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY tUrkEy TuRKeY

Ciao.
Gianni.


--
   Gianni Bianchini - giannibi@firenze.linux.it
                      giannibi@iname.com