Re: Iptables

To: Debian Italian <debian-italian@lists.debian.org>
Subject: Re: Iptables
From: BlueRaven <blueraven@libero.it>
Date: Sat, 1 Jun 2002 00:38:51 +0200
Message-id: <[🔎] 20020531223851.GC278@shaundakul.my.lan>
Mail-followup-to: Debian Italian <debian-italian@lists.debian.org>
In-reply-to: <1022575164.763.14.camel@debsim>
References: <1022575164.763.14.camel@debsim>

On Tue, May 28, 2002 at 10:39:21AM +0200, Stefano Simonucci wrote:

> Non e' esplicitamente detto se i target ACCEPT e DROP interrompono la
> catena o uno passa anche alla regola successiva. 

La interrompono, nel senso che il pacchetto prosegue verso le altre catene
oppure viene scartato.

> Se la interrompono non mi spiego come mai ipmasq (di default) mette come
> catena di INPUT 
> Chain INPUT (policy DROP)
> target     prot opt source               destination         
> ACCEPT     all  --  anywhere             anywhere           
[cut]
> In questo caso infatti mi sembra che tutti i pacchetti soddisfino alla
> prima regola (o sbaglio)? 

Dipende dall'interfaccia in ingresso a cui quella regola si riferisce, prova
con -L -n -v, al 99% e' il localhost (lo).

> Inoltre non ho capito quale catena viene esaminata per prima (INPUT,
> FORWARD o OUTPUT di filter oppure PREROUTING ecc.. di nat ...) o se ne
> viene esaminata una sola (ma quale?)

Come primissima cosa, il pacchetto viene sottoposto alle regole di mangling,
che consentono di modificarlo a piacimento o quasi.
Dopodiche', il pacchetto viene sottoposto alle decisioni di routing: per
prima cosa, attraversa la PREROUTING, dove la sua destinazione puo' essere
cambiata col DNAT; questa e' una delle caratteristiche piu' belle di
iptables, IMHO, puoi fare tutti i giochi che vuoi col NAT senza alterare il
funzionamento del packet filter.
Poi, si guarda dove e' diretto il pacchetto: se e' indirizzato alla tua box,
viene passato alla catena INPUT, che filtra l'accesso ai processi locali, ad
es. un sshd.
Altrimenti, prosegue verso la catena FORWARD, che decidera' se smistarlo
verso l'interfaccia di uscita o no.
La catena OUTPUT serve, invece, per i pacchetti generati dai processi che
girano sulla stessa box.
Da ultimo, proprio mentre il pacchetto sta per uscire dall'interfaccia di
destinazione, attraversa la catena POSTROUTING, che puo' ancora filtrarlo
oppure lasciarlo passare, magari manipolandolo, ad es. effettuando il source
NAT o il masquerading.

> Potete consigliarmi qualche manuale? 

Gli ottimi HOWTO ufficiali, dove sono presenti anche dei chiari diagrammi
dei flussi sopracitati (www.netfilter.org).
Trovi del buon materiale anche su www.linuxguruz.org.

-- 
BlueRaven

Se non e' tutto chiaro, regolate i parametri di brightness
e contrast della vostra mente ( Simon ).

-- 
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Prev by Date: Re: Crittografia
Next by Date: Re: [OT] L'unione fa la forza?
Previous by thread: Re: Problema con audio dopo upgrade a woody
Next by thread: Re: Iptables
Index(es):
- Date
- Thread