Port forwarding in un adsl router...

[Marco Gaiarin <gaio@linux.it>]

Una domandina. Ho fatto per uan sede della mia organizzazione un
abbonamento adsl flat con ip statico assegnato al router. Il router è
collegato tramite cavo invertito ad un PC debian/2.4/iptables
(192.168.1.X) che quindi routa per la rete interna (10.X.Y.Z).

Nel router, per poter essere visibile dall'esterno per essenzialmente
ssh e qualche porta UDP per poter fare una VPN con cipe, ho abilitato
il port forwarding di tutte le porte (UDP e TCP) del router sulla
macchina in questione, e facendo finta che 192.168.1.X sia un IP
pubblico vero e proprio le cose mi funzionano che è una meraviglia.


Nel dubbio ho provato, da un altro ip, a fare nmap:

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on  X.Y.Z.W):
(Not showing ports in state: filtered)
Port    State       Protocol  Service
22      open        tcp        ssh
28      unfiltered  tcp        unknown
38      unfiltered  tcp        rap
44      unfiltered  tcp        mpm-flags
45      unfiltered  tcp        mpm
66      unfiltered  tcp        sql*net
80      open        tcp        http
92      unfiltered  tcp        npp
153     unfiltered  tcp        sgmp
190     unfiltered  tcp        gacp
227     unfiltered  tcp        unknown
237     unfiltered  tcp        unknown
264     unfiltered  tcp        bgmp
278     unfiltered  tcp        unknown
344     unfiltered  tcp        pdap
387     unfiltered  tcp        aurp
432     unfiltered  tcp        iasd
451     unfiltered  tcp        sfs-smp-net
452     unfiltered  tcp        sfs-config
458     unfiltered  tcp        appleqtc
475     unfiltered  tcp        tcpnethaspsrv
791     unfiltered  tcp        unknown
808     unfiltered  tcp        unknown
810     unfiltered  tcp        unknown
811     unfiltered  tcp        unknown
818     unfiltered  tcp        unknown
834     unfiltered  tcp        unknown
869     unfiltered  tcp        unknown
881     unfiltered  tcp        unknown
913     unfiltered  tcp        unknown
946     unfiltered  tcp        unknown
957     unfiltered  tcp        unknown
1241    unfiltered  tcp        msg
1348    unfiltered  tcp        bbn-mmx
1363    unfiltered  tcp        ndm-requester
1515    unfiltered  tcp        ifor-protocol
5145    unfiltered  tcp        rmonitor_secure
6141    unfiltered  tcp        meta-corp


mentre le porte UDP risultano quasi tutte aperte (open), mentre
ovviamento non lo sono:

curtesan:~# iptables -v -L INPUT
Chain INPUT (policy DROP 14501 packets, 839K bytes)  pkts bytes target     prot opt in     out     source destination         
[...]
   20  1266 ACCEPT     tcp  --  eth1   any     anywhere anywhere           tcp dpt:ssh 
    0     0 ACCEPT     udp  --  eth1   any     anywhere anywhere           udp dpt:22005 
   47  6262 ACCEPT     udp  --  eth1   any     anywhere anywhere           udp dpt:22007 
 5131  627K ACCEPT     udp  --  eth1   any     anywhere anywhere           udp dpt:22010 
 4602 1766K ACCEPT     all  --  eth1   any     anywhere anywhere           state RELATED,ESTABLISHED 
[...]

Non capisco se è nmap che fa qualche errore di interpretazione oppure
il port forwarding di quella scatoletta può effettivamente incasinare
le cose a tal punto da gabbare completamente iptables.

Non credo, ma non conosco bene nmap e chiedo conferma. ;)


In particolare... chevvordì ``unfiltered''?! ;-)))


Grazie.

-- 
  Errare è umano, ma per fare veramente casino
  ci vuole la password di root				(Zio Budda)