[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2001 ml@sikurezza.org Soggetto: regole iptables Mittente: Claudio Piciarelli Data: 30 Aug 2001 14:56:01 -0000
innanzitutto un saluto a tutti, visto che e' la prima volta che vi scrivo :) Ho un problema che mi sta facendo impazzire da una vita e che non riesco assolutamente a risolvere. Ho chiesto anche in svariati ng e nessuno mi ha saputo dare una mano... ora confido in voi :) Per me e' piuttosto importante capire cosa c'e' che non funziona, anche perche' il problema si presenta anche su alcune macchine che ho configurato per conto di terzi... in sostanza il problema e' questo. Il mio linux kernel 2.4.6 (ma anche le versioni precedenti che ho provato, e che adesso non mi ricordo quali fossero... se non sbaglio 2.4.3 e 2.4.4), ogni volta che mi collego a internet mi riempie i log con questo: Aug 28 21:08:48 sauron kernel: IN=ppp0 OUT= MAC= SRC=193.70.192.52 DST=151.25.48.187 LEN=66 TOS=0x00 PREC=0x00 TTL=250 ID=9235 DF PROTO=TCP SPT=25 DPT=1074 WINDOW=10220 RES=0x00 ACK PSH FIN URGP=0 Ovvero, per qualche misterioso motivo, dopo che ho spedito la posta netfilter mi blocca tutti i pacchetti di chiusura connessione (notate i flag PSH/FIN) provenienti dai mail server di libero. Quello che mi lascia perplesso e'... 1) lo fa solo con gli smtp server di libero (193.70.192.51, 193.70.192.52, 193.70.192.53) 2) lo fa solo con i pacchetti FIN/ACK 3) lo fa nonostante le mie regole casereccie siano a dir poco banali: ==================================================================== #!/bin/sh modprobe ip_conntrack_ftp IPTABLES="/usr/sbin/iptables" ### Flush everything, start from scratch ######## $IPTABLES -F $IPTABLES -X ### filter table ################################ ### FORWARD chain ############################### # default forward policy $IPTABLES -P FORWARD DROP ### OUTPUT chain ################################ # default output policy $IPTABLES -P OUTPUT ACCEPT ### INPUT chain ################################# # default input policy $IPTABLES -P INPUT DROP # accetta tutto il traffico dalla rete locale $IPTABLES -A INPUT -i eth0 -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT # filtra il traffico in entrata dall'interfaccia PPP $IPTABLES -N ppp-in $IPTABLES -A INPUT -i ppp0 -j ppp-in ### PPP-IN chain ################################# # NB: spoof protect is done via /etc/init.d/networking ### standard things to do $IPTABLES -A ppp-in -m state --state INVALID -j LOG --log-level info --log-prefix "invalid pkt: " $IPTABLES -A ppp-in -m state --state INVALID -j DROP $IPTABLES -A ppp-in -f -j ACCEPT ### accept rules # accept ICMP traffic $IPTABLES -A ppp-in -p icmp -j ACCEPT # accept ftp connections $IPTABLES -A ppp-in -p tcp -d $PPP_LOCAL --dport ftp -j ACCEPT # accept ssh connections $IPTABLES -A ppp-in -p tcp -d $PPP_LOCAL --dport ssh -j ACCEPT # accept fakebo connections :) $IPTABLES -A ppp-in -p tcp -d $PPP_LOCAL --dport 12345 -j ACCEPT $IPTABLES -A ppp-in -p udp -d $PPP_LOCAL --dport 31337 -j ACCEPT # returning connections, ftp data, icmp errors... $IPTABLES -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT # drop these without logging $IPTABLES -A ppp-in -p 2 -j DROP $IPTABLES -A ppp-in -p 103 -j DROP # REJECT di identd, cosi' non perdiamo tempo $IPTABLES -A ppp-in -p tcp --dport auth -j REJECT # log anything else $IPTABLES -A ppp-in -j LOG --log-level info $IPTABLES -A ppp-in -j DROP =============================================================== io non capisco... perche' quei pacchetti non vengono accettati dalla regola sullo stato ESTABLISHED,RELATED ???? Grazie a chiunque sia in grado di aiutarmi. -- `cat ~/.mutt/signature` ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005