[MontelLUG] Chiarimento iptables
Nicola Durante
nicola a nicetoad.homelinux.org
Mar 26 Giu 2007 14:37:35 CEST
per navigare puoi usare questa regola:
iptables -A INPUT -p tcp ! --syn --sport 80 -j ACCEPT
accetta le connessioni tcp che provengono dalla porta 80 (web server),
ma solo se sei stato tu ha instaurare la connessione per primo (! --syn,
significa "tranne
i pacchetti TCP con il flag syncronize impostato", in pratica non puoi
essere trattato
come un server)
per capire meglio prova a guardarti il disegno di una sessione tcp:
http://www.rabbitsemiconductor.com/documentation/docs/manuals/TCPIP/Introduction/images/5protoc2.gif
Rompi ha scritto:
> Rieccomi con l'ennesimo intrippamento (una volta o l'altra devo venirvi a
> trovare, la sede nuova, è per caso dove hanno fatto 2.5 anni fa la mostra di
> radio d'epoca?).
> Ho dichiarato le regole qui sotto con iptables.
> Il problema è che non riesco più ad uscire (dalla console del server), ad
> esempio per guardare una pagina in internet.
> Per riuscirci devo disabilitare il firewall.
> Le cose sono due. O ho sbagliato qualcosa nelle regole, o più probabilmente,
> come spesso mi succede, ho qualche modulo caricato male o che manca.
> Da quello che ho capito io, nel momento in cui visito ad esempio una pagina,
> vado a collegarmi al server remoto, sulla porta 80 mentre io utilizzo una
> mia porta X ad esempio 1234. Quando il server web mi invia la pagina, i dati
> mi
> arrivano sulla porta 1234, a questo punto, iptables dovrebbe ricordarsi che
> sulla porta 1234 ho iniziato io una connessione verso il server remoto,
> quindi dovrebbe accettare i pacchetti che mi arrivano su quella porta fin
> tanto che è su la connessione.
> Anche perché se non fosse così dovrei aprire tutte le porte sopra la 1024 ma
> non mi sembra una buona idea.
>
>
> asterisco:~ # iptables -L
> Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT tcp -- 84.253.166.50 anywhere tcp dpt:ndmp
> ACCEPT tcp -- 84.253.166.52 anywhere tcp dpt:ndmp
> ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
> ACCEPT tcp -- anywhere anywhere tcp dpt:domain
> ACCEPT udp -- anywhere anywhere udp dpt:domain
> ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
> ACCEPT all -- anywhere anywhere
> DROP all -- anywhere anywhere
>
> Chain FORWARD (policy DROP)
> target prot opt source destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
> asterisco:~ #
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
>
>
More information about the montellug
mailing list