Re: Traceroute e iptables

Gelpi Andrea wrote:
> Se da un PC della lan sia esso un windows o un linux lancio un
> traceroute verso un sito esterno il primo hop è il firewall una RedHat
> 9.
> Secondo iptables i pacchetti di risposta al traceroute sono invalidi,
> matchanno infatti per -m state --state INVALID, perchè?

> Come posso correggere il probleam?


ma nell'output del traceroute lo vedi come primo hop? intendo dire vedi 
il suo ip o ti da una fila di asterischi?
Nell'ultimo caso, vorrebbe dire che per qualche motivo i paccehtti 
scartati sono gli icmp time exceeded del firewall (mi incarto sempre su 
sti ragionamenti...non prendere per oro colato cio; che scrivo :))
Sul motivo per cui cadano sotto la scure dell'invalid state, non so 
risponderti. So solo che stando alla man page di iptables "...INVALID 
meaning that  the  packet is associated with no known connection...".
Forse, ha a che fare ocn il TimeToLive di quei pacchetti. Iptables mi 
pare sia in grado di gestire anche regole che filtrano sul TTL

Oppure, forse ho capito male la domanda, vuoi dire che il traceroute 
verso l'esterno non va oltre il primo hop, cioe' il firewall?

Se posti un output di traceroute e qualche log del firewall relativo al 
problema, forse riesco a capirci di piu'

Intanto pero' guarderei le regole relative agli icmp e poi proverei a 
capire che tipo di pacchetti di preciso vengono scartati.

Yvette (vodka)


--
ing. Yvette Agostini
http://yvetteagostini.it
Words are, of course, the most powerful drug used by mankind - Rudyard 
Kipling


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List