Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 2 su 2
  1. 29-09-2005, 13:11 #1
    sopadj1
    Guest

    iptables e concetto che non capisco

    salve gente, in una lan di un mio amico vi era un pc che faceva da server, era connesso su internet con un modem ed aveva 1 scheda di rete che gestiva 2 net con le virtual nic (eth0:0), faceva anche da server dhcp e da proxy server. ho spulciato il firewall_server.sh e non riesco a capire una cosa , mi chiedo:
    queste regole
    codice:
    iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24
--dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT
    non sono inutili nel contesto(vedi sotto)?
    cioè non riesco a capire sta cosa, prendiamo come esempio la prima regola che ho citato, non è inutile? non si dovrebbe gia comportare cosi di default? cioè i pacchetti icmp attraversano di default la catena di prerouting, come anche tutte le altre regole qui sopra riportate....non capisco
    illuminatemi vi prego

    firewall.sh:
    codice:
    #!/bin/bash

set -x

#Carico Moduli
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc

#Flush catene
iptables -X
iptables -Z
iptables -F
iptables -t nat -F
iptables -t mangle -F


#Regole Kernel
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#/bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians


#Policy di Default
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


#PREROUTING
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16  -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24 --dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.100.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 80 -i eth1 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -j DROP
    Rispondi quotando Rispondi quotando
  2. 29-09-2005, 19:46 #2
    gigyz
    gigyz non è in linea
    Utente di HTML.it L'avatar di gigyz
    Registrato dal
    Oct 2003
    Messaggi
    1,443
    Invia un messaggio tramite ICQ a gigyz Invia un messaggio tramite Yahoo a gigyz
    hai ragione, la cosa avrebbe senso solo con una default policy che blocca
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.