[Primipassi] Filtrare ip (riposta da profano)
Aldo Podavini
a.podavini@mclink.it
Mer 5 Maggio 2004 13:14:29 CEST
Che dire... Non ho altro da aggiungere, tutto perfetto :-)
Confermo che le policy non si applicano alle catene user-defined (i.e.:
non standard); semplicemente se un pacchetto arriva alla fine di una
catena senza matchare alcuna regola, ricade nella policy della catena
standard da cui dipende.
( btw: a proposito di policy, vi dò un piccolo consiglio: non usate mai
DROP come policy se vi capita di dover amministrare la macchina da
remoto; infatti se iptables trova qualche errore nelle regole, le
disabilita tutte salvo le policy, e se state amministrando la macchina
da remoto son cazzi. Molto meglio usare ACCEPT come policy, e
accertarsi che ogni catena finisca con un DROP).
Lo "0 references" che perplimeva (sic) Gianni dipende proprio dal fatto
che nella sua "nomecatena" non indirizzava nulla .
Ciao
Aldo
btw: come va adesso la tua rete in biblioteca ?
Manuel Toniato wrote:
>Adesso non so se mi ricordo male ma le policy non si possono definire per le catene non standard.
>
>Vediamo se primipassi mi ha insegnato bene (con tutto quello che ho rotto e Aldo può confermare...). Se ho capito giusto la tua cosa non dovrebbe funzionare affatto.
>Chi dice al sistema che cosa deve passare a nomecatena??
>
>Più che altro non ho capito se questo IP non deve essere raggiungibile dal tuo pc, o se l'IP non deve poter avere accesso al tuo PC.
>Cmq dovresti scrivere qualcosa del genere (sempre se vuoi usare una catena nuova):
>
>Nel primo caso:
>
>iptables -N nomecatena
>
>iptables -A OUTPUT -d 111.111.111.111 -j nomecatena
>#che vuol dire prendi tutto ciò che VA VERSO 111.111.111.111 e dallo in pasto a nomecatena
>
>iptables -A nomecatena -j DROP
>
>nel secondo:
>
>iptables -N nomecatena
>
>iptables -A INPUT -s 111.111.111.111 -j nomecatena
>#che vuol dire prendi tutto ciò che ARRIVA DA 111.111.111.111 e dallo in pasto a nomecatena
>
>iptables -A nomecatena -j DROP
>
>Ma tutto si può semplicemente scrivere come:
>iptables -A OUTPUT -d 111.111.111.111 -j DROP
>oppure:
>iptables -A INPUT -s 111.111.111.111 -j DROP
>
>e cmq per fare tutto ciò devi ovviamente avere i permessi di root.
>
>
>
>>Lo "0 references" mi perplime :-), ma non sono riuscito a trovare qualcosa
>>che ne parli...
>>
>>
>
>Se guardi i thread passati cominciati dalle mie mail ce n'è di materiale...
>
>http://iptables-tutorial.frozentux.net/iptables-tutorial.html
>http://www.commedia.it/ccontavalli/#docs-it
>
>E poi non ricordo l'indirizzo esatto ma se cerchi "Appunti di Informatica Libera" su Google trovi un enciclopedia di informatica in cui c'è anche un capitolo su iptables.
>
>Ciao!
>Manuel
>
>
>_______________________________________________
>FLUG primipassi con Linux - primipassi@firenze.linux.it
>Policy: http://www.firenze.linux.it/primipassi/policy_html
>URL: http://lists.firenze.linux.it/mailman/listinfo/primipassi
>Archivio: http://lists.firenze.linux.it/pipermail/primipassi/
>Ricerca nell'archivio: http://www.firenze.linux.it/search
>
>
>
Maggiori informazioni sulla lista
primipassi