[Tech] Passare da ipchains alla roba per i kernel 2.4

Gianni Bianchini giannibi@firenze.linux.it
Ven 3 Gen 2003 01:24:40 CET


On Fri, 3 Jan 2003 00:05:37 +0100
Simone Ballerini wrote:

> >   ipchains -P forward DENY
> > 
> >   ipchains -A forward -s 192.168.10.0/24 -j MASQ
> > 
> >   ipchains -A input -s 127.0.0.1 -d 0/0 -j ACCEPT
> >   ipchains -A input -s 192.168.10.0/24 -d 0/0 -j ACCEPT
> 
> Non sono un esperto di firewall ma mi sembra che queste due rige
> qui sopra siano inutili.

Non mi pare lo siano qualora si desideri che tutto il traffico
dalla rete interna e da localhost venga accettato, visto che sotto ci
sono un paio di catch-all:

> >   ipchains -A input -p tcp -s 0/0 -y -j DENY
> >   ipchains -A input -p udp -s 0/0 -j DENY

> Poi cosi` com'e` non e` che la tua
> macchina possa forwardare anche pacchetti camuffati da localhost
> o da lan provenienti invece dll'interfaccia ppp?

Si', potrebbe far entrare anche quelli, anche se ci sarebbe una colpa
non indifferente da parte del provider, il quale dovrebbe permettere
almeno una di queste due bestemmie:

1) Il peer della connessione ppp ti invia deliberatamente pacchetti spoofati
   da indirizzi delle classi di indirizzi privati
2) I router del provider permettono l'instradamento di pacchetti provenienti da
   indirizzi privati e/o il peer li inoltra a te.

Vedi cmq la soluzione con iptables.

Ciao.
Gianni.




Maggiori informazioni sulla lista flug-tech