Hello erlug,
Eccomi qui a smadonnare su iptables di sabato, giusto perche`
domenica sera deve funzionare tutto...
essendo io un novizio di iptables, mi chiedo un po` di cose, che
spero che qualche paranoico utilizzatore di iptables possa
chiarirmi.
1- definire una regola che dice
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP
e` sufficiente per stare TRANQUILLI che da eth1 nessuno riuscira`
ad aprire connessioni verso le mie macchine (sia il firewall che
quelle interne)?
2- se applico una regola DNAT (in prerouting) i pacchetti che la
attraversano e vengono nattati, passano per quali catene? input,
forward o entrambe? (ovviamente anche per output, ma non mi
interessa)
3- contrariamente a quanto avevo letto, fare un SNAT di un gruppo di
IP su un gruppo di IP, tipo:
iptables -t nat -A POSTROUTING -o eth3 -j SNAT -s 10.0.0.8/29 --to
151.95.160.8/29
non fa si` che il mapping del NAT sia sempre "statico", ovvero
10.0.0.9 su 151.95.160.9, il 10 sul 10, eccetera... ma lui comunque
"sparpaglia" le connessioni come meglio crede... il che mi costringe
a un ridicolo elenco di 64 regole ognuna delle quali con un singolo
indirizzo... mi confermate che fa cosi`, o sono scemo io?
Ok, per oggi basta cosi`. torno a configurare sto firewall.
--
Fabio "Kurgan" Muzzi - Paranoid System Administrator
Internet Images - web services & network security
A user needs the root password like nitroglycerine needs a good shake.
|