Autore Topic: Iptables  (Letto 2817 volte)

Offline agenore

  • Full Member
  • ***
  • Post: 93
    • Mostra profilo
    • E-mail
Iptables
« il: 02 Febbraio 2011, 14:57:33 »
Ciao a tutti, sono nuovo del forum ed onestamente non saprei cosa dire per presentarmi se non che sono un'appassionato di informatica con l'hobby dei disastri
Vi vorrei sottoporre un problema che mi arrovella da un p di giorni .... il principale imputato iptables.
Ho preso un vecchio pc con due schede di rete, una distribuzione linux, un web server (apache) con una stupidissima applicazione web ed un client. Il Web server in ascolto sulla scheda eth1 (192.168.3.10) il client (192.168.4.11) connesso alla eth0 (192.168.4.10). Ho abilitato il routing tra le schede ... ed ho provato a configurare il firewall. Un mezzo disastro.
Premetto che da poco mi sto cimentando con iptable e per chiarezza in rete ho trovato le seguenti definizioni sulle sue catene principali:
Tutti i pacchetti destinati esclusivamente alla macchina firewall saranno sottoposti alle regole contenute nella catena INPUT
Tutti i pacchetti generati dalla macchina firewall e in uscita saranno sottoposti alle regole della catena OUTPUT
Quindi, se non fraintendo, le richieste che arrivano dal client sono nella catena INPUT mentre le risposte al client dal web server sono nella catena OUTPUT.
Lo script del firewall :

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]

-A INPUT -s localhost -d localhost -j ACCEPT

-A INPUT -i eth0 -s ! 192.168.4.11 -j DROP
-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 22 -j ACCEPT
-A INPUT -i eth0 -d 192.168.3.10 -j ACCEPT
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT

-A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT

-A INPUT -i eth1 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT

in questo modo ottengo la pagina di login dal web server ma poi non vado oltre, e non riesco a tracciare i pacchetti.
Dove che sbajo? cosa mi sfugge?
Ciao e grazie

Offline agenore

  • Full Member
  • ***
  • Post: 93
    • Mostra profilo
    • E-mail
Re: Iptables
« Risposta #1 il: 03 Febbraio 2011, 10:24:15 »
Buongiorno a tutti ... dovrei aver risolto .... o almeno cosi funziona. Per prima cosa sembra errata la linea inerente il local host sostituita con:
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

ho raggruppato poi le regole sulle connessioni stabilite subito dopo ...

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

possibile togliere questa riga che ridondante ....

-A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

il resto invariato.
Spero di esservi stato utile. Ciao

P.S.
logicamente migliorabile, vi consiglio questo link
http://digilander.libero.it/amilinux/doc/netfilter.html
ma date un'occhiata anche al sito