[MontelLUG] Chiarimento iptables

[Nicola Durante]

per navigare puoi usare questa regola:
iptables -A INPUT -p tcp ! --syn --sport 80 -j ACCEPT
accetta le connessioni tcp che provengono dalla porta 80 (web server),
ma solo se sei stato tu ha instaurare la connessione per primo (! --syn, 
significa "tranne
i pacchetti TCP con il flag syncronize impostato", in pratica non puoi 
essere trattato
come un server)
per capire meglio prova a guardarti il disegno di una sessione tcp:
http://www.rabbitsemiconductor.com/documentation/docs/manuals/TCPIP/Introduction/images/5protoc2.gif


Rompi ha scritto:
> Rieccomi con l'ennesimo intrippamento (una volta o l'altra devo venirvi a
> trovare, la sede nuova, è per caso dove hanno fatto 2.5 anni fa la mostra di
> radio d'epoca?).
> Ho dichiarato le regole qui sotto con iptables.
> Il problema è che non riesco più ad uscire (dalla console del server), ad
> esempio per guardare una pagina in internet.
> Per riuscirci devo disabilitare il firewall.
> Le cose sono due. O ho sbagliato qualcosa nelle regole, o più probabilmente,
> come spesso mi succede, ho qualche modulo caricato male o che manca.
> Da quello che ho capito io, nel momento in cui visito ad esempio una pagina,
> vado a collegarmi al server remoto, sulla porta 80 mentre io utilizzo una
> mia porta X ad esempio 1234. Quando il server web mi invia la pagina, i dati
> mi
> arrivano sulla porta 1234, a questo punto, iptables dovrebbe ricordarsi che
> sulla porta 1234 ho iniziato io una connessione verso il server remoto,
> quindi dovrebbe accettare i pacchetti che mi arrivano su quella porta fin
> tanto che è su la connessione.
> Anche perché se non fosse così dovrei aprire tutte le porte sopra la 1024 ma
> non mi sembra una buona idea.
>
>
> asterisco:~ # iptables -L
> Chain INPUT (policy DROP)
> target     prot opt source               destination
> ACCEPT     tcp  --  84.253.166.50        anywhere            tcp dpt:ndmp
> ACCEPT     tcp  --  84.253.166.52        anywhere            tcp dpt:ndmp
> ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
> ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
> ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
> ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
> ACCEPT     all  --  anywhere             anywhere
> DROP       all  --  anywhere             anywhere
>
> Chain FORWARD (policy DROP)
> target     prot opt source               destination
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
> asterisco:~ #
>
>
> _______________________________________________
> montellug mailing list
> montellug a montellug.it
> http://mail.montellug.it/mailman/listinfo/montellug_montellug.it
>
>