[gl-como] minicorso di iptables
Matteo Cavalleri
theos@bp.lnf.it
Lun 15 Mar 2004 15:27:39 CET
Ciao a tutti,
mercoledì scorso abbiamo cominciato un minicorso di iptables... per chi
non c'era (e anche per chi c'era...;-) diciamo che l'intervento è durato
un'oretta (dalle 22 alle 23 circa) ed il tempo è bastato appena per:
- descrivere alcuni campi che formano i pacchetti IP e TCP, poi
utilizzati per descrivere le regole di filtraggio dei pacchetti
- descrivere le catene della tabella principale (filter), ovvero INPUT,
OUTPUT e FORWARD mostrando quando i pacchetti entrano nelle prime due e
quando invece entrano nella terza.
- accennare l'uso del il comando iptables per riempire le catene e per
definire le policy di default
La volta prossima, se siete d'accordo, non mi metterei a parlare di
nulla ma si potrebbe tutti insieme mettere un po in pratica quello che è
stato detto, giusto per rendere più chiaro il tutto, essere sicuri che
tutti abbiano capito e consolidare il know-how per affrontare gli
argomenti relativi ad iptables che ancora ci aspettano.
Il PC di Raysel (che ha due schede di rete) lo potremmo configurare come
FW, e utilizzare altri portatili per simulare host in entrambi i lati
del fw.
Per fare ciò bisognerebbe che ciascuno portasse la propria macchina
linux già configurata (non arrivate con un kernel che non funziona sennò
buttiamo via la serata).
L'obiettivo (didattico) è quello di monitorare i pacchetti che passano,
e quelli che vengono scartati, man mano che andiamo a variare le diverse
regole nella tabella di filter.
Successivamente alla serata didattica, sarà possibile tornare a parlare
di iptables affrontando succulenti altri temi sottoelencati:
* Snat e Dnat, masquerading
* customizzazione di alcuni parametri del kernel in ambito fw (
sysctl.conf ;-))
* utilizzo di moduli in kernel space (es. per le connessioni ftp)
* log e marking del pacchetti (quest'ultimo utile soprattutto per
applicazioni TC).
* concetto di DMZ ed configurazioni tipiche nel caso dei diversi servizi
che classicamente girano in questi ambienti
aspetto vs commenti.
Maggiori informazioni sulla lista
gl-como