Re: [ml] iptables overlap ?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] iptables overlap ?
Mittente: Romano Romano
Data: Sun, 17 Dec 2006 16:18:34 +0100 (CET)

Cherubini Enrico ha scritto:

iptables -t nat -A POSTROUTING -o $IFACE0 -s 10.1.1.10 -j SNAT --to
$xxx.xxx.xxx.xxx
iptables -t nat -A POSTROUTING -o $IFACE0 -j SNAT --to yyy.yyy.yyy.yyy

Le regole sono corrette, perciò, se il pacchetto viene da 10.1.1.10, dovrebbe essere nattato con xxx.xxx.xxx.xxx.

a) c'e' modo per far si' che dopo avere analizzato la prima regola, si
smetta di scorrere l'elenco delle regole di iptables ?

Questo è il comportamento di default di iptables: se un pacchetto corrisponde a una data regola, si salta al target specificato e l'elaborazione si interrompe (unica eccezione, che io sappia, è il target LOG). La prima verifica da fare è un "iptables -L -n -v -t nat" sul firewall e controllare che l'ordine delle regole in POSTROUTING sia effettivamente quello: se per errore sono invertite l'effetto è esattamente quello che descrivi. Altrimenti, il problema potrebbe essere sulla macchina che origina il pacchetto: verifica che l'indirizzo sorgente sia effettivamente 10.1.1.10, magari c'è qualcosa che lo modifica prima che arrivi al firewall.

--
Romano Romano

There are only 10 types of people in this world:
those who understand binary and those who don't.

In risposta a:
- [ml] iptables overlap ?, Cherubini Enrico

Data:
- precedente: Re: [ml] Data retention, Flavio Visentin
- successivo: Re: [ml] Firewall Zywall 35 - Problema, Romano Romano
- indice

Argomento:
- precedente: R: [ml] iptables overlap ?, Alberto Spelta
- successivo: [ml] Furto portatile, nemesis
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005