[Tech] Stranezza su IPTables

St0rM storm@elemental.it
Mer 4 Lug 2001 07:26:35 CEST 

> In ogni caso la macchina GW potrebbe si' ricevere pacchetti ed inoltrarli
> alla rete interna, pero' le risposte apparirebbero in ogni caso
> generate dall'indirizzo esterno, con la conseguente impossibilita' di
> stabilire ad es. una connessione TCP regolare, a meno di comportamenti
> volutamente maligni da parte dello stack del client che dovrebbe
> riconoscere nei pacchetti che riceve da GW le risposte alle sue
> richieste e gestirle opportunamente senza scartarle.


beh...no...
Del resto qualunque pacchetto di ritorno dopo un masquerade avrebbe un 
indirizzo esterno. Se per esempio mi connetto dalla macchina A ad un 
sito www, io apro da A una connessione alla macchina WWW, passando per 
GW che MASQUERA il pacchetto cambiandone l'indirizzo di provenienza. A 
quel punto il server WWW risponde mandando il pacchetto a GW che SA che 
su quella porta il pacchetto che torna va rimandato ad A cambiandone la 
destinazione. Quest'ultimo pacchetto e' del tutto uguale a un pacchetto 
di richiesta di connessione che partisse eventualmente dal server WWW (o 
da qualcunque altro computer) diretto ad A se avesse GW come gateway, 
dato che l'operazione di cambio di indirizzo di destinazione viene fatta 
nel prerouting che e' PRIMA delle regole di FORWARD.

L'UNICA differenza su cui giocare e' il flag SYN, ma insomma non mi pare 
una bella cosa, anche perche' vorrei evitare TUTTI i pacchetti, ICMP e 
UDP compresi.


> Sembrerebbe poter essere un problema per comunicazioni "one shot" di
> tipo UDP, in cui per sortire un qualche effetto basta che il client mandi
> pacchetti al server (interno) senza necessariamente doverne ricevere risposta.
> In questo caso uno puo' fare dei filtraggi ad hoc (ad es. droppare
> pacchetti TCP con SYN se provenienti dall'esterno e diretti alle macchine
> interne) o filtrare l'UDP ove non serva (cosa che si fa normalmente).


Se bloccassi i pacchetti SYN (per capirci con SYN settato e ACK e FIN 
resettato) sarebbe cosi', ma e' comunque poco pratico...

 
> Ma sono convinto che mi sfugga ancora qualcosa.

Siamo sempre li =)

p.s. Hai risposto molto prima di quanto CG mi avesse detto (o quanto 
avessi capito io) comunque =) Grande =)

Maggiori informazioni sulla lista flug-tech