[CB-lug] iptables bestemmie

[forsaker]

Ciao, espongo rapidamente il problema partendo dalla configurazione
della mia mini rete di tre macchine virtuali:
judith1: 172.30.1.1
judith2: 172.30.1.254 172.30.3.254
judith3: 172.30.3.1

come potete immaginare judith2 fa la parte del router tra la rete
172.30.1.0/24 e 172.30.3.0/24.

Ora su judith2 ho messo queste due regole:
iptables -P FORWARD DROP
iptables -I FORWARD -p tcp --dport 80 -s 172.30.3.1 -d 172.30.1.1 -j
ACCEPT

che _dovrebbe_ da quanto ne so bloccare tutto il traffico tra judith1 e
judith3 tranne quello che va da judith3 a judith1 diretto alla 80...

ora, tutto il traffico lo blocca, ma pare bloccare anche i suddetti
pacchetti: difatti se da judith3 faccio $ telnet 172.30.1.1 80 (si c'e'
un webserver su judith1) non passa niente, e il counter dei pacchetti
droppati su judith2 sale..
Ho provato a vedere cosa arriva su judith2 con
$ tcpdump src host 172.30.3.1 and dst host 172.30.1.1 and tcp dst port
80

e effettivamente gli arrivano i pacchetti giusti di questo tipo:
10:53:43.908718 IP 172.30.3.1.4801 > 172.30.1.1.www: S
1423229373:1423229373(0) win 5840 <mss 1460,sackOK,timestamp 877866
0,nop,wscale 1>

dov'e' l'arcano?

grazie e saluti, andrea