[gl-como] minicorso di iptables

Matteo Cavalleri theos@bp.lnf.it
Lun 15 Mar 2004 15:27:39 CET


Ciao a tutti,

mercoledì scorso abbiamo cominciato un minicorso di iptables... per chi 
non c'era (e anche per chi c'era...;-) diciamo che l'intervento è durato 
un'oretta (dalle 22 alle 23 circa) ed il tempo è bastato appena per:
- descrivere alcuni campi che formano i  pacchetti IP e TCP, poi 
utilizzati per descrivere le regole di filtraggio dei pacchetti
- descrivere le catene della tabella principale (filter), ovvero INPUT, 
OUTPUT e FORWARD mostrando quando i pacchetti entrano nelle prime due e 
quando invece entrano nella terza.
- accennare l'uso del il comando iptables per riempire le catene e per 
definire le policy di default

La volta prossima, se siete d'accordo, non mi metterei a parlare di 
nulla ma si potrebbe tutti insieme mettere un po in pratica quello che è 
stato detto, giusto per rendere più chiaro il tutto, essere sicuri che 
tutti abbiano capito e consolidare il know-how per affrontare gli 
argomenti relativi ad iptables che ancora ci aspettano.
Il PC di Raysel (che ha due schede di rete) lo potremmo configurare come 
FW, e utilizzare altri portatili per simulare host in entrambi i lati 
del fw.
Per fare ciò bisognerebbe che ciascuno portasse la propria macchina 
linux già configurata (non arrivate con un kernel che non funziona sennò 
buttiamo via la serata).
L'obiettivo (didattico) è quello di monitorare i pacchetti che passano, 
e quelli che vengono scartati, man mano che andiamo a variare le diverse 
regole nella tabella di filter.

Successivamente alla serata didattica, sarà possibile tornare a parlare 
di iptables affrontando  succulenti altri temi sottoelencati:
* Snat e Dnat, masquerading
* customizzazione di alcuni parametri del kernel in ambito fw ( 
sysctl.conf ;-))
* utilizzo di moduli in kernel space (es. per le connessioni ftp)
* log e marking del pacchetti (quest'ultimo utile soprattutto per 
applicazioni TC).
* concetto di DMZ ed configurazioni tipiche nel caso dei diversi servizi 
che classicamente girano in questi ambienti

aspetto vs commenti.





Maggiori informazioni sulla lista gl-como