[Tech] Passare da ipchains alla roba per i kernel 2.4
Morpheus
morpheus@mydotcomaddress.com
Lun 6 Gen 2003 20:48:02 CET
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Alle 01:24, venerdì 3 gennaio 2003, Gianni Bianchini ha spippolato:
> On Fri, 3 Jan 2003 00:05:37 +0100
>
> Simone Ballerini wrote:
> > > ipchains -P forward DENY
> > >
> > > ipchains -A forward -s 192.168.10.0/24 -j MASQ
> > >
> > > ipchains -A input -s 127.0.0.1 -d 0/0 -j ACCEPT
> > > ipchains -A input -s 192.168.10.0/24 -d 0/0 -j ACCEPT
> >
> > Non sono un esperto di firewall ma mi sembra che queste due rige
> > qui sopra siano inutili.
>
> Non mi pare lo siano qualora si desideri che tutto il traffico
> dalla rete interna e da localhost venga accettato, visto che sotto ci
>
> sono un paio di catch-all:
> > > ipchains -A input -p tcp -s 0/0 -y -j DENY
> > > ipchains -A input -p udp -s 0/0 -j DENY
se non specifichi le interfacce coinvolte caso per caso queste due ultime
regole lasciano il tempo che trovano nel caso di datagrammi spoofati.
> > Poi cosi` com'e` non e` che la tua
> > macchina possa forwardare anche pacchetti camuffati da localhost
> > o da lan provenienti invece dll'interfaccia ppp?
>
> Si', potrebbe far entrare anche quelli, anche se ci sarebbe una colpa
> non indifferente da parte del provider, il quale dovrebbe permettere
> almeno una di queste due bestemmie:
>
> 1) Il peer della connessione ppp ti invia deliberatamente pacchetti
> spoofati da indirizzi delle classi di indirizzi privati
non sarei così sicuro che questi pacchetti vengano bloccati dai provider...
anzi direi proprio di no visto cosa trovo ogni giorno nei log del firewall
dell'azienda per cui lavoro.
> 2) I router del provider permettono l'instradamento di pacchetti
> provenienti da indirizzi privati e/o il peer li inoltra a te.
Beh, sai com'è... visto che un pacchetto ha un indirizzo di origine ed uno di
destinazione che non sono legati fra loro in alcun modo non ci vedo niente di
strano in ciò che ti sconvolge tanto...
Saluti
Paolo
- --
*****************************************
Powered by Linux Mandrake 9.0
Linux Registered User 223916
Linux Registered Machine 106779
*****************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQE+Gd1yE8+EZeDD8mQRAqhQAJ4i9qbKlL/vFzUIuKnNqoN2xOyk4gCfWsgH
s6gfixvXNTq0Ps5bLqloptQ=
=ye7l
-----END PGP SIGNATURE-----
Maggiori informazioni sulla lista
flug-tech