salve gente, in una lan di un mio amico vi era un pc che faceva da server, era connesso su internet con un modem ed aveva 1 scheda di rete che gestiva 2 net con le virtual nic (eth0:0), faceva anche da server dhcp e da proxy server. ho spulciato il firewall_server.sh e non riesco a capire una cosa , mi chiedo:
queste regole
codice:
iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24
--dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT
non sono inutili nel contesto(vedi sotto)?
cioè non riesco a capire sta cosa, prendiamo come esempio la prima regola che ho citato, non è inutile? non si dovrebbe gia comportare cosi di default? cioè i pacchetti icmp attraversano di default la catena di prerouting, come anche tutte le altre regole qui sopra riportate....non capisco
illuminatemi vi prego
firewall.sh:
codice:
#!/bin/bash
set -x
#Carico Moduli
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc
#Flush catene
iptables -X
iptables -Z
iptables -F
iptables -t nat -F
iptables -t mangle -F
#Regole Kernel
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#/bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians
#Policy di Default
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#PREROUTING
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
iptables -t nat -A PREROUTING -p icmp -s 192.168.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -s 192.168.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p all -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.100.0/24 --dports 22,25,110,143,3128,8443,443,21,6667 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.100.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 80 -i eth1 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -j DROP