[Tech] Stranezza su IPTables

St0rM storm@elemental.it
Mer 4 Lug 2001 18:48:15 CEST 

> Ok per quanto riguarda la ricezione da parte di GW e l'instradamento 
> verso A del pacchetto di richiesta connessione (SYN) da parte di WWW.
> Questo pacchetto deve necessariamente portare come destination address
> l'indirizzo interno di A, ed ammettiamo quindi 
> che GW lo faccia passare (questo pacchetto ovviamente non puo' venir nattato
> all'inverso se non e' una risposta ad un pacchetto nattato in uscita
> da GW). 


No, perche' quando A gli manda il pacchetto prima di farlo uscire GW lo 
MASQUERA cambiandone l'indirizzo do partenza con il suo. Quindi WWW 
crede effettivamente di parlare con GW intutto e per tutto. =((

Esempio

1) A spedisce un pacchetto SYN a WWW passandolo a GW che e' il suo gateway.

2) Il pacchetto arriva a GW che ne cambia l'indirizzo di partenza con il 
suo, e lo forwarda a WWW segnandosi la su aporta locale, e segnandosi 
che i pacchetti che arrivano su quella porta vanno De-Masquerati.

3) WWW vede il pacchetto come proveniente da GW, e risponde con un SYN 
ACK verso GW sulla stessa porta DI GW (com'e' standard)

4) GW vede il pacchetto, vede che viene da una porta segnata come 
utilizzata per il MASQUERADE e ne ri-cambia l'indirizzo di destinazione 
conquello di A, facendolo passare attraverso il forwarding e inviandolo 
ad A.

5) A riceve il pacchetto SYN ACK proveniente da WWW (e poi continua col 
SYN ACK ACK ecc.ecc.)


Come si vede nel punto 4, e' NECESSARIO permettere il forwarding dei 
pacchetti provenienti da indirizzi esterni diretti a indirizzi di rete 
locale, ANCHE SE in effetti non ne sono mai arrivati, perche' questi 
pacchetti vengono creati da GW con un artificio. Quello che io penso 
sarebbe giusto e' che questi pacchetti "speciali" NON DOVREBBERO passare 
attraverso le normali regoile di FORWARD...Dovrebbero esserci delle 
regole di FORWARD "speciali" per loro, com'era per IPCHains per capirci.

Insomma, se mi passate il francesismo mi sembra un po' una c*%%*|a di 
IPTABLES...Ci fosse almeno un flag per riconoscere questi pacchetti...

Maggiori informazioni sulla lista flug-tech