[MontelLUG] nuova regola su iptables

[Paolo Subiaco]

Ciao.
> devo installarmi un nuovo apparecchio di acquisizione dati sulla rete:
> siccome l'hardware è di un cliente e non voglio cambiargli l'IP, ho
> creato un alias della mia scheda di rete per comunicare con la
> macchina. Fin qui tutto ok, si pingano. Il problema nasce quando si
> deve comunicare attraverso le API proprietarie, che usano la porta TCP
> 34191. Decido di aggiungere una nuova chain su iptables e creo questo
> piccolo script:
> 
> # WE7000 iptables rules
> 
> iptables -N we7000
> 
> iptables -A we7000 -p UDP --destination-port 34191 -j ACCEPT
> iptables -A we7000 -p TCP --destination-port 34191 -j ACCEPT
> 
> iptables -A we7000 -p UDP --destination-port 34000 -j ACCEPT
> iptables -A we7000 -p TCP --destination-port 34000 -j ACCEPT
> 
> Lo salvo e lo eseguo da root ma ancora non si parlano. Eppure con il
> comando iptables -n -L compare questo output:
> 
> Chain we7000 (0 references)
> target     prot opt source               destination         
> ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:34191 
> ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:34191 
> ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:34000 
> ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:34000 
> 

Il problema e' che quella cella che hai inserito e' morta, nel senso che non
c'e' alcun link dalla cella di INPUT e OUTPUT alla cella we7000.
Invece di creare la nuova cella, credo dovresti rimpiazzare

iptables -A we7000
con
iptables -A OUTPUT blablabla
in modo da abilitare i pacchetti in uscita da linux a quel dispositivo su
quelle porte.
Ciao