[Primipassi] Filtrare ip (riposta da profano)

Aldo Podavini a.podavini@mclink.it
Mer 5 Maggio 2004 13:14:29 CEST


Che dire... Non ho altro da aggiungere, tutto perfetto :-)
Confermo che le policy non si applicano alle catene user-defined (i.e.: 
non standard); semplicemente se un pacchetto arriva alla fine di una 
catena senza matchare alcuna regola, ricade nella policy della catena 
standard da cui dipende.

( btw: a proposito di policy, vi dò un piccolo consiglio: non usate mai 
DROP come policy se vi capita di dover amministrare la macchina da 
remoto; infatti se iptables trova qualche errore nelle regole, le 
disabilita tutte salvo le policy, e se state amministrando la macchina 
da remoto son cazzi. Molto meglio usare  ACCEPT come policy, e 
accertarsi che ogni catena finisca con un DROP).

Lo "0 references" che perplimeva  (sic) Gianni dipende proprio dal fatto 
che nella sua "nomecatena" non indirizzava nulla .

Ciao
Aldo

btw: come va adesso la tua rete in biblioteca ?


Manuel Toniato wrote:

>Adesso non so se mi ricordo male ma le policy non si possono definire per le catene non standard.
>
>Vediamo se primipassi mi ha insegnato bene (con tutto quello che ho rotto e Aldo può confermare...). Se ho capito giusto la tua cosa non dovrebbe funzionare affatto.
>Chi dice al sistema che cosa deve passare a nomecatena??
>
>Più che altro non ho capito se questo IP non deve essere raggiungibile dal tuo pc, o se l'IP non deve poter avere accesso al tuo PC.
>Cmq dovresti scrivere qualcosa del genere (sempre se vuoi usare una catena nuova):
>
>Nel primo caso:
>
>iptables -N nomecatena
>
>iptables -A OUTPUT -d 111.111.111.111 -j nomecatena 				
>#che vuol dire prendi tutto ciò che VA VERSO 111.111.111.111 e dallo in pasto a nomecatena
>
>iptables -A nomecatena -j DROP
>
>nel secondo:
>
>iptables -N nomecatena
>
>iptables -A INPUT -s 111.111.111.111 -j nomecatena
>#che vuol dire prendi tutto ciò che ARRIVA DA 111.111.111.111 e dallo in pasto a nomecatena
>
>iptables -A nomecatena -j DROP
>
>Ma tutto si può semplicemente scrivere come:
>iptables -A OUTPUT -d 111.111.111.111 -j DROP
>oppure:
>iptables -A INPUT -s 111.111.111.111 -j DROP
>
>e cmq per fare tutto ciò devi ovviamente avere i permessi di root.
>
>  
>
>>Lo "0 references" mi perplime :-), ma non sono riuscito a trovare qualcosa
>>che ne parli...
>>    
>>
>
>Se guardi i thread passati cominciati dalle mie mail ce n'è di materiale...
>
>http://iptables-tutorial.frozentux.net/iptables-tutorial.html
>http://www.commedia.it/ccontavalli/#docs-it
>
>E poi non ricordo l'indirizzo esatto ma se cerchi "Appunti di Informatica Libera" su Google trovi un enciclopedia di informatica in cui c'è anche un capitolo su iptables.
>
>Ciao!
>Manuel
>
>
>_______________________________________________
>FLUG primipassi con Linux - primipassi@firenze.linux.it
>Policy: http://www.firenze.linux.it/primipassi/policy_html
>URL: http://lists.firenze.linux.it/mailman/listinfo/primipassi
>Archivio:  http://lists.firenze.linux.it/pipermail/primipassi/
>Ricerca nell'archivio: http://www.firenze.linux.it/search
>
>  
>




Maggiori informazioni sulla lista primipassi