[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Marzo 2005 ml@sikurezza.org Soggetto: Re: [ml] Ancora su iptables e situazioni pseudo-reali. Mittente: Daniele Palumbo Data: Tue, 22 Mar 2005 20:24:33 +0100 (CET)
On Friday 18 March 2005 10:09, sys@xxxxxxxxxxx wrote: > $IPTABLES -t nat -A PREROUTING -i $INTERFACE_ESTERNA -p udp --dport 53 -j > DNAT --to-destination $MACCHINA_DMZ:53 non serve :53 nella macchina di destinazione. serve solo se cambi porta (ad esempio :60) > Ora questo direi che è proprio DNAT e non port forward visto che un > indirizzo esplicito di destinazione non c'è nel pacchetto originario > (ovvio, la macchina in DMZ non è direttamente raggiungibile...). definiscimi un port forward :) > Se questa cosa va bene, allora direi che dopo la modifica dell'header con > un nuovo IP di destinazione il pacchetto attraversa comunque le catene di > INPUT, FORWARD e OUTPUT impostate sul FIREWALL. no. o meglio: o input e output, o forward. sono mutuamente esclusive. nel tuo caso: forward. peraltro, sembra che tu lo sappia, a leggere dalla regola successiva... > Quindi suppongo di dover > gestire nella catena di FORWARD del firewall il suddetto pacchetto > esattamente come se fosse stato originariamente buildato per raggiungere la > macchina in DMZ no? Quindi dovrò aggiungere cose del tipo: > > $IPTABLES -A FORWARD -p udp --dport 53 -d $MACCHINA_DMZ -m state --state > NEW -j ACCEPT esatto. > In questo modo, in una sola regola risolvo anche l'inoltro dei pacchetti > provenienti dalla 3° scheda (avevo assunto che aveva 3 interface il > firewall...) che comunque avranno già di loro (provenendo da una rete > interna) l'indirizzo ip della macchina in DMZ come destinazione. si. non risolvi però il problema dalla macchina che fa da router (input e output). > Ultima cosa: volendo far "passare" anche il traffico verso internet sono > necessarie regole particolari che controllano i tcp-flags dei pacchetti o > mi basta una cosa tipo: > > $IPTABLES -A FORWARD -s $NETDMZ -m state --state NEW,RELATED -j ACCEPT RELATED,ESTABLISHED ha più senso. e serve per far rispondere la macchina verso il mondo esterno. tipicamente, per un server dns, dovresti prevedere anche il fatto che dall'esterno si connettano in tcp. inoltre, di solito, tendo a lasciar passare il traffico sul "router" senza fare controlli sullo stato del pacchetto, e farli poi a valle, sulla macchina destinazione. bye d. -- PGP Key-ID: 0xF482D454 -- to boldly go where no man has gone before.
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005