[Tech] Stranezza su IPTables
Gianni Bianchini
giannibi@firenze.linux.it
Mer 4 Lug 2001 12:14:41 CEST
On Wed, Jul 04, 2001 at 01:26:35AM -0400, St0rM wrote:
> beh...no...
> Del resto qualunque pacchetto di ritorno dopo un masquerade avrebbe un
> indirizzo esterno. Se per esempio mi connetto dalla macchina A ad un
> sito www, io apro da A una connessione alla macchina WWW, passando per
> GW che MASQUERA il pacchetto cambiandone l'indirizzo di provenienza. A
> quel punto il server WWW risponde mandando il pacchetto a GW che SA che
> su quella porta il pacchetto che torna va rimandato ad A cambiandone la
> destinazione. Quest'ultimo pacchetto e' del tutto uguale a un pacchetto
> di richiesta di connessione che partisse eventualmente dal server WWW (o
> da qualcunque altro computer) diretto ad A se avesse GW come gateway,
> dato che l'operazione di cambio di indirizzo di destinazione viene fatta
> nel prerouting che e' PRIMA delle regole di FORWARD.
Ok per quanto riguarda la ricezione da parte di GW e l'instradamento
verso A del pacchetto di richiesta connessione (SYN) da parte di WWW.
Questo pacchetto deve necessariamente portare come destination address
l'indirizzo interno di A, ed ammettiamo quindi
che GW lo faccia passare (questo pacchetto ovviamente non puo' venir nattato
all'inverso se non e' una risposta ad un pacchetto nattato in uscita
da GW).
Tuttavia, allorche' A comunica SYN+ACK a WWW attraverso GW, questo
pacchetto viene mascherato con l'indirizzo esterno di GW e mandato a
WWW, il quale si vede arrivare un SYN+ACK da un indirizzo verso cui non aveva
inviato SYN (cioe' ha una connessione in stato SYN-SENT verso A e
riceve ACK+SYN da GW).
A questo punto WWW dovrebbe
scartare il pacchetto (a meno che non si fidi solo dell'ACK number
che gli arriva in risposta e non del source address :o , ma mi
sembrerebbe piuttosto bizzarro) e la connessione ad A rimanere in
SYN-SENT.
A questo punto la connessione non si stabilisce comunque, filtro o non
filtro, no?
Ciao.
Gianni.
--
Gianni Bianchini - giannibi@firenze.linux.it
giannibi@iname.com
Maggiori informazioni sulla lista
flug-tech