iptables - regole paranoiche per capire il tragitto dei pacchetti

To: "debian list" <debian-italian@lists.debian.org>
Subject: iptables - regole paranoiche per capire il tragitto dei pacchetti
From: "wannabe.mail" <wannabe.mail@libero.it>
Date: Tue, 17 Apr 2007 23:57:47 +0200
Message-id: <[🔎] JGNX0B$55D8DDEBB0B2AF2C275AF4D7A0460ACF@libero.it>

ciao, mi sto configurando iptables in maniera "paranoica" direi.. ma penso sia utile x capire come vengono trasmessi i pacchetti.
Innanzitutto spiego la mia situazione.

Server linux debian con 2 eth (eth0 192.168.0.2 eth1 10.10.1.1) collego ad un router 192.168.0.2
Questo server mi fa da firewall e server mail.

Server dns windows con ip 10.10.1.3

Parto dal fatto che ho messo a DROP tutte le regole di default
INPUT - FORWARD - OUTPUT - PREROUTING E POSTROUTING.

Per ora mi sono limitato a creare delle regole che mi consentono di risolvere il dns esterno e di navigare da un pc.
Ecco ciò che ho scritto:

###### GESTIONE DNS ####################################################################################
###### IP DNS 10.10.1.3 (SERVER WINDOWS)
## FASE 1: UN PC INTERROGA IL DNS 10.10.1.3 PER RISOLVERE L'INDIRIZZO DI UN SITO WEB - LINUX NON FA NULLA
## FASE 2: IL DNS 10.10.1.3 INTERROGA INTERNET PER RISOLVERE L'INDIRIZZO
## IL SERVER LINUX DEVE FAR PASSARE IL PACCHETTO UDP PER IL DNS DEL PROVIDER
## PERCORSO DI ANDATA DEL PACCHETTO UDP
iptables -t nat -A POSTROUTING -p udp --dport 53 -s 10.10.1.3 -j MASQUERADE
iptables -t filter -A FORWARD -p udp -s 10.10.1.3 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -p udp -i eth1 --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

## IL DNS DEL PROVIDER RISPONDE E IL PACCHETTO RITORNA INDIETRO
iptables -t filter -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -o eth1 --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -s 10.10.1.3 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -d 10.10.1.3 -j DNAT --to 10.10.1.3:53

##### GESTIONE NAVIGAZIONE WEB ###########################################################################
####  DA PC CON IP 10.10.1.3
####  PACCHETTO IN ANDATA
iptables -t filter -A FORWARD -p tcp -s 10.10.1.3 -d 0/0 --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --dport 80 -s 10.10.1.3 -j MASQUERADE
#### PACCHETTO IN RITORNO
iptables -t filter -A FORWARD -p tcp -d 10.10.1.3 -s 0/0 --sport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 10.10.1.3 --dport 80 -j DNAT --to 10.10.1.3:80

Avendo impostato a drop le policy di default devo specificare
passo dopo passo ciò che il pacchetto fa..

Diciamo che il discorso funziona ma volevo sapere da voi se è corretto come funzionamento delle regole anche se sicuramente è troppo paranoica..


ciao


------------------------------------------------------
Passa a Infostrada. ADSL e Telefono senza limiti e senza canone Telecom
http://click.libero.it/infostrada

Reply to:

Follow-Ups:
- Re: iptables - regole paranoiche per capire il tragitto dei pacchetti
  - From: Pietro Giorgianni <giorgian@gmail.com>

Prev by Date: debian i386 stable, testing e unstable non vanno sul mio nuovo pc!
Next by Date: Re: debian i386 stable, testing e unstable non vanno sul mio nuovo pc!
Previous by thread: Re: debian i386 stable, testing e unstable non vanno sul mio nuovo pc!
Next by thread: Re: iptables - regole paranoiche per capire il tragitto dei pacchetti
Index(es):
- Date
- Thread