Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

IPTABLE e FORWARD: abilitare traffico di ritorno

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Dom Lug 17, 2016 8:48 pm    Oggetto: IPTABLE e FORWARD: abilitare traffico di ritorno Rispondi citando

Salve, mi scuso per l'eventuale mia mancanza conoscitiva ma ero convinto che anch ein una logica di forwarding, se ho autorizzato un pacchetto ad uscire, il ritorno dello stesso sia autorizzato.
In pratica implementando una regola che un PC sulla LAN potesse andare verso un'altra LAN oppure verso Internet attraverso il firewall (da ETH0 a ETH1), ho notato che se non inserisco una regola anche per il ritorno, ho dei problemi.
In pratica devo implementare la regola
10 * ETH00 ACCEPT all opt -- in * out ETH00 0.0.0.0/0 -> 0.0.0.0/0

Qual'č la ratio ?
Grazie
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Lug 18, 2016 7:48 am    Oggetto: Rispondi citando

la logica del firewall e' piu' o meno questa :

Posso voler fare uscire qualcosa su una porta, ma cio' non implica che voglia anche che ci entri!


se voglio quindi abilitare un sistema ad entrare ed uscire su una singola porta scrivero' quindi una regola di uscita su XY porte e una di entrata su XY porte
Top
Profilo Invia messaggio privato
merope



Registrato: 11/06/16 12:44
Messaggi: 46

MessaggioInviato: Lun Lug 18, 2016 11:18 pm    Oggetto: Rispondi citando

EmmeKappa ha scritto:
la logica del firewall e' piu' o meno questa :

Posso voler fare uscire qualcosa su una porta, ma cio' non implica che voglia anche che ci entri!


se voglio quindi abilitare un sistema ad entrare ed uscire su una singola porta scrivero' quindi una regola di uscita su XY porte e una di entrata su XY porte


Grazie per la risposta che "in effetti č coerente e chiara".
A questo punto, ma solo quale confronto dialettico, se io voglio che un IP vada su www.repubblica.it, mi aspetto che il pacchetto (dunque le pagine) siano visibili ..... magari controllando che "quel traffico di ritorno" sia generato da una sessione, da una comunicazione precedentemente instaurata.
Comunque grazie Smile
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mar Lug 19, 2016 7:37 am    Oggetto: Rispondi citando

se non ricordo male basta abilitare le connessioni in entrata usando il flag

ESTABLISHED

quindi la regola dovrebbe essere piu' o meno

ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 destination IP range TUACLASSEINTERNA state ESTABLISHED


in questo caso sarebbe da interpretare : fai passare le cose esterne verso l'interno solo se la connessione e' gia' in stato attivo (solo se qualcuno ha prima chiamato e attivato la connessione)

P.S. potrei anche dire una castroneria....
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it