Re: [Erlug] Novizio di iptables.

Nando Santagata <nando@xxxxxxxxx> · Sat, 25 May 2002 23:04:16 +0200

On Sat, May 25, 2002 at 06:32:50PM +0200, Fabio Muzzi wrote:
>   1- definire una regola che dice
>            iptables -A INPUT   -i eth1 -m state --state NEW,INVALID -j DROP
>            iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP
>      e` sufficiente per stare TRANQUILLI che da eth1 nessuno riuscira`
>      ad  aprire connessioni verso le mie macchine (sia il firewall che
>      quelle interne)?

Spero di si`, perche` e` quella che uso anche io :-) e comunque se usi
*solo* questa e` ben difficile usare qualsiasi programma P2P...

>   2-  se  applico  una  regola DNAT (in prerouting) i pacchetti che la
>   attraversano  e  vengono  nattati,  passano per quali catene? input,
>   forward  o  entrambe?  (ovviamente  anche  per  output,  ma  non  mi
>   interessa)

Circa, ma per maggiori info, e visto che ci lavori e sicuramente avrai
problemi anche piu` incasinati da risolvere, ti conviene cercare
iptables-tutorial (su freshmeat), che e` un reference totale e
aggiornato con le ultime paturnie di iptables.
La risposta (che e` troppo lunga per essere copiata qui) e` a pagina 16
nella versione che ho qui.

>   3- contrariamente a quanto avevo letto, fare un SNAT di un gruppo di
>   IP su un gruppo di IP, tipo:
>     iptables -t nat -A POSTROUTING -o eth3 -j SNAT -s 10.0.0.8/29 --to
>     151.95.160.8/29
>   non  fa  si`  che  il  mapping  del NAT sia sempre "statico", ovvero
>   10.0.0.9  su 151.95.160.9, il 10 sul 10, eccetera... ma lui comunque
>   "sparpaglia" le connessioni come meglio crede... il che mi costringe
>   a  un ridicolo elenco di 64 regole ognuna delle quali con un singolo
>   indirizzo... mi confermate che fa cosi`, o sono scemo io?

Effettivamente mi sembra che tutti gli esempi siano riferiti a load
balancing oppure a situazioni del tipo:

Moreover, you can map the same packets onto many different targets, and they
will be shared. For example, if you don't want to map anything over 1.2.3.5,
you could do:

    # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 \
            -j SNAT --to 1.2.3.0-1.2.3.4 --to 1.2.3.6-1.2.3.254

in cui evidentemente non c'e` una corrispondenza biunivoca come invece
mi sembra che tu voglia fare (e che tra parentesi mi sembra un caso
frequente e utile, se non puoi fare del semplice bridging)

-- 
Nando Santagata: Telemastica & infornatica
Key fingerprint = 1054 9311 458D 4BAA E97B  F447 7CD4 54B5 0208 F815
finger nandos (at) mail (dot) ipers (dot) net   for my GPG public key
NANDO: Networked Artificial Neohuman Designed for Observation

To:	erlug@xxxxxxxxxxxxxx
Subject:	Re: [Erlug] Novizio di iptables.
From:	Nando Santagata <nando@xxxxxxxxx>
Date:	Sat, 25 May 2002 23:04:16 +0200

<Prev in Thread]	Current Thread	[Next in Thread>
[Erlug] Novizio di iptables., Fabio Muzzi Re: [Erlug] Novizio di iptables., Nando Santagata <=

Previous by Date:	Re: [Erlug] [very OT] preparativi, Massimiliano Masserelli
Next by Date:	Re: [Erlug] [very OT] preparativi, Pier Luigi Fiorini
Previous by Thread:	[Erlug] Novizio di iptables., Fabio Muzzi
Next by Thread:	[Erlug] ???????, Sythos
Indexes:	[Date] [Thread] [Top] [All Lists]