Visualizzazione dei risultati da 1 a 5 su 5

Discussione: iptables -p INPUT DROP

  1. #1

    iptables -p INPUT DROP

    Ciao a tutti. Configurando una regola di questo tipo:

    iptables -p INPUT DROP

    ...mi sono sorpreso del fatto di non poter più navigare (tra le tante cose). Esiste una regola complementare per dire a iptables di lasciare entrare i pacchetti generati da una richiesta di connessione partita esplicitamente da dentro?

    Saluti.
    Rilasciata Python FTP Server library 0.5.1
    http://code.google.com/p/pyftpdlib/

    We'll be those who'll make the italian folks know how difficult can be defecating in Southern California without having the crap flying all around the house.

  2. #2
    Utente di HTML.it L'avatar di gigyz
    Registrato dal
    Oct 2003
    Messaggi
    1,443
    così imposti la police di default del chain di INPUT a DROP quindi è normale che non riesci più a comunicare con l'esterno, devi espressamente accettare le connessionni con ACCEPT.

  3. #3
    Si ma in questo modo dovrei creare una regola di permesso per ogni applicazione che utilizzo.
    Forse non mi sono spiegato nel migliore dei modi.
    Da quel che ho intuito con iptables -p INPUT DROP posso far uscire un pacchetto per contattare (ad es) un webserver però non posso ricevere il pacchetto di risposta che il webserver ritorna in quanto rientrando nella catena INPUT viene scartato (e questo infatti è corretto).

    La maggior parte dei firewall (i personal firewall di windows in testa) di default adottano una politica del tipo:
    * blocco tutti i pacchetti in ingresso
    * allo stesso tempo, però, se dalla macchina locale parte un pacchetto che ne pregiudica un altro di ritorno, subito dopo (esempio banale: un ICMP ECHO che genera un ICMP ECHOREPLY di risposta), pur essendoci una regola di blocco per i pacchetti in ingresso quel pacchetto dovrà entrare in quanto a generarlo è stata una specifica richiesta partita dalla macchina locale.


    Su iptables vorrei adottare questo tipo di comportamento. Se lo fanno i pf di default ipotizzo che lo possa fare anche iptbles.
    Rilasciata Python FTP Server library 0.5.1
    http://code.google.com/p/pyftpdlib/

    We'll be those who'll make the italian folks know how difficult can be defecating in Southern California without having the crap flying all around the house.

  4. #4
    devi far passare le connessioni in ingresso che abbiano una relazione con quele in uscita:

    iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    questa regola fa passare in input solo le connessioni di risposta a quelle di uscita!

    Ovviamente quella regola la metti dopo

    iptable -P INPUT DROP

    Ciao

  5. #5
    Perfetto. Era proprio quello che mi serviva.
    Rilasciata Python FTP Server library 0.5.1
    http://code.google.com/p/pyftpdlib/

    We'll be those who'll make the italian folks know how difficult can be defecating in Southern California without having the crap flying all around the house.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.