[Tech] Stranezza su IPTables

[Alessio Frusciante]

Oggi St0rM ha scritto:

> Come si vede nel punto 4, e' NECESSARIO permettere il forwarding dei
> pacchetti provenienti da indirizzi esterni diretti a indirizzi di rete
> locale, ANCHE SE in effetti non ne sono mai arrivati, perche' questi
> pacchetti vengono creati da GW con un artificio. Quello che io penso
> sarebbe giusto e' che questi pacchetti "speciali" NON DOVREBBERO passare
> attraverso le normali regoile di FORWARD...Dovrebbero esserci delle
> regole di FORWARD "speciali" per loro, com'era per IPCHains per capirci.
Allora, la gestione del NAT in iptables e` fatta in modo che sia del tutto
indipendente dalle regole di filtraggio. In pratica le tabelle nat e filter
sono del tutto autonome. Tu devi definire le catene e le regole in filter
come se non avessi il NAT. Poi ci metti il NAT e tutto funziona magicamente.
Questa cosa io la considero molto comoda.
L'invito e` quindi quello di scrivere le regole di filtraggio come se tu
avessi un indirizzo pubblico e dovessi passare attraverso un firewall.
Ovviamente non puoi semplicemente mandare in DROP tutti i pacchetti che
provengono dall'esterno.

> Insomma, se mi passate il francesismo mi sembra un po' una c*%%*|a di
> IPTABLES...Ci fosse almeno un flag per riconoscere questi pacchetti...
In generale, senza utilizzare lo stato (che comunque ipchains non aveva, a
parte -y) non puoi riconoscere un pacchetto legato ad una tua connessione da
un pacchetto generato a bella posta da una macchina esterna, quindi non
capisco il problema...

Ciao
Alessio