[Tech] Stranezza su IPTables
Gianni Bianchini
giannibi@firenze.linux.it
Mer 4 Lug 2001 15:34:48 CEST
On Wed, Jul 04, 2001 at 03:45:10PM -0400, St0rM wrote:
> Se io NEGO ogni forward DA FUORI VERSO A sulle regole di forward di GW,
> l'SNAT non funziona perche' i pacchetti in ritorno, dopo il
> DE-MASQUERAMENTO, vengono droppati.
>
> Se PERMETTO il detto forward, rischio che qualcuno con un'adsl con la
> mia stessa sottorete (per capirci, nella rete interna DEL PROVIDER a cui
> io sono connesso in PPP con l'adsl) mi entri nei pc in locale.
>
> Queste cose le dico perche' l'ho PROVATO.
>
> La domanda e': come fare a permettere il forward dall'esterno verso
> l'interno SOLO ai pacchetti di ritorno gestiti dal masquerade? Perche'
> NON li gestisce in maniera automatica, ovvero NON li tratta diversamente
> da un qualunque pacchetto proveniente da fuori che tenti di accedere ai
> pc di rete interna (A e B per capirci)
La risposta te l'ha data anche Alessio prima, mi sembra. Poiche' il nat e'
indipendente dal forwarding e viene prima, e' naturale pensare che se
GW e' impostato come gateway per una macchina della rete esterna, i
pacchetti non corrispondenti a risposte a pacchetti mascherati passino
tranquillamente. Se vuoi evitare fenomeni tipo invio di pacchetti UDP,
ICMP, ecc. verso l'interno (le connessioni TCP non si stabiliscono per
i motivi che ti dicevo prima), devi mettere delle regole di filtraggio
_come se il nat non ci fosse_, ovvero come se il tuo GW funzionasse da
"firewall" che protegge una rete universalmente accessibile.
Se lo SNAT permette effettivamente questo (e tu me lo confermi), non
vedo altre soluzioni. Il MASQUERADE invece cosa fa? Fa passare solo
risposte a pacchetti precedenti mascherati?
Ciao.
Gianni.
--
Gianni Bianchini - giannibi@firenze.linux.it
giannibi@iname.com
Maggiori informazioni sulla lista
flug-tech