[Tech] iptables e redirect (o quant'altro)

Simone Piccardi piccardi@firenze.linux.it
Mar 6 Lug 2004 11:07:35 CEST


On Tue, 2004-07-06 at 09:23, Franco Vite wrote:
> Alle 18:33, lunedì 5 luglio 2004, Simone Piccardi ha scritto:
> > I firewall si fanno con una politica di DROP.
> >
> > Ti dovrebbe bastare:
> > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> > -A INPUT -i eth0 -m state --state NEW -j ACCEPT
> > -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT #anche da
> > fuori? -A INPUT -j DROP
> > -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
> > -A OUTPUT -j DROP
> > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> > -A FORWARD -i eth1 -m state --state NEW --dport 80 -j ACCEPT
> 
> qui ho dovuto metterci un -p tcp che altrimenti iptables si incazzava e 
> mi diceva di leggere il manuale (in sostanza m'ha detto RTFM :).
> 
> cmq ho fatto come dici tu, iptables-restre < piccardifw.txt
> e dalla rete interna non esco più.
> ecco perchè ho messo la catena FORWARD in ACCEPT
Il trucco e` appunto che non funziona finche` non apri a sufficienza.
Cosi` eviti di doverti preoccupare di tutto quello che resta. Per uscire
dalla rete interna abiliti il NEW per la roba che da dentro (immagino -i
eth0) va fuori (immagino -o eth0). 
cioe`: 

-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT

Il perche` non vedi l'altra macchina non lo so, che dice tcpdump? ci
arrivano i pacchetti?

Ciao
Simone




Maggiori informazioni sulla lista flug-tech