[CB-lug] iptables bestemmie

draven draven@paranoici.org
Mar 27 Mar 2007 01:11:47 CEST


Caro Fors.,
se non sbaglio, le regole contenute all'interno delle catene predefinite
della tabella filter di iptables (input, output, forward) vengono lette
in maniera sequenziale! questo fa si che se tu droppi tutto e poi apri
sulla 80, quando viene letta la regola per consentire il passaggio sulla
80, è già stata letta l'altra regola che blocca tutto, tra cui anche la
80.
Prova a invertire l'ordine delle regole: prima apri sulla 80 e poi
droppi tutto.

A occhio, questo potrebbe essere l'arcano, prova e fai sapere..

Byez .:Drav:.

In data 26/3/2007, "Kumrah" <kumrah84@gmail.com> ha scritto:

>magari ti dico qualcosa ceh hai già fatto...però hai provato a vedere se i
>moduli necessari siano stati caricati? prova a dare il comando da riga di
>comando, se ti da un errore con un codice simile a  42944967295 molto
>probabilmente non hai caricato il modulo che serve. Una lista indicativa dei
>moduli da abilitare ( o da mettere built in) la  puoi trovare qui:
>http://www.mod-xslt2.com/people/ccontavalli/docs-it/iptables/iptables4dummies/iptables4dummies-9.html
>
>Il 26/03/07, forsaker <forsaker@gmail.com> ha scritto:
>>
>> Ciao, espongo rapidamente il problema partendo dalla configurazione
>> della mia mini rete di tre macchine virtuali:
>> judith1: 172.30.1.1
>> judith2: 172.30.1.254 172.30.3.254
>> judith3: 172.30.3.1
>>
>> come potete immaginare judith2 fa la parte del router tra la rete
>> 172.30.1.0/24 e 172.30.3.0/24.
>>
>> Ora su judith2 ho messo queste due regole:
>> iptables -P FORWARD DROP
>> iptables -I FORWARD -p tcp --dport 80 -s 172.30.3.1 -d 172.30.1.1 -j
>> ACCEPT
>>
>> che _dovrebbe_ da quanto ne so bloccare tutto il traffico tra judith1 e
>> judith3 tranne quello che va da judith3 a judith1 diretto alla 80...
>>
>> ora, tutto il traffico lo blocca, ma pare bloccare anche i suddetti
>> pacchetti: difatti se da judith3 faccio $ telnet 172.30.1.1 80 (si c'e'
>> un webserver su judith1) non passa niente, e il counter dei pacchetti
>> droppati su judith2 sale..
>> Ho provato a vedere cosa arriva su judith2 con
>> $ tcpdump src host 172.30.3.1 and dst host 172.30.1.1 and tcp dst port
>> 80
>>
>> e effettivamente gli arrivano i pacchetti giusti di questo tipo:
>> 10:53:43.908718 IP 172.30.3.1.4801 > 172.30.1.1.www: S
>> 1423229373:1423229373(0) win 5840 <mss 1460,sackOK,timestamp 877866
>> 0,nop,wscale 1>
>>
>> dov'e' l'arcano?
>>
>> grazie e saluti, andrea
>>
>>
>>
>> --
>> Mailing list info: http://lists.linux.it/listinfo/lugcb
>>

=======================================================
we are the peoples of a world within the world, we are the digital image
of every bit of data in cyberspace...
=======================================================


Maggiori informazioni sulla lista Lugcb