chiarimento iptables - catene di Input forward e outout

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns e altro.
Immagine Server WebServer FtpServer MailServer ProxyServer Dns
Scrivi risposta
giobaxx
Prode Principiante
Messaggi: 53
Iscrizione: mercoledì 5 marzo 2008, 14:16

chiarimento iptables - catene di Input forward e outout

Messaggio da giobaxx »

Salve ragazzi,
sto cercando di capire come funziona iptables. Ora un amico mi ha fatto un piccolo "corso" ma in realtà più che chiarito ha incasinato ancor di più i miei dubbi.. Considerando uno scenario di una macchina che fa da firewall e gateway di una LAN. Eth0 sarà la scheda che va verso internet e eth1 la scheda che sta sulla LAN(per ora lascio perdere il NAT).

Innanzitutto quello che scrivo sotto e che è relativo alle tre catene è vero?

La catena di FORWARD riguarda quei pacchetti che attraversano il Firewall ma che sono diretti verso altri host(ad esempio da Internet verso i client della LAN e viceversa)
LA catena di INPUT sono i pacchetti che sono diretti al Firewall e possono provenire sia dalla LAN che ad esempio dall'esterno...cioè Internet...
LA catena di OUTPUT sono i pachetti generati dal Firewall e che sono in uscita o verso la LAN o verso il mondo esterno...

tra i comandi che questo mio amico ha scritto nel firewall c'è il seguente

Codice: Seleziona tutto

iptables -A INPUT -i eth1 -s 0/0 -d 0/0 ACCEPT
ora per quello che avevo capito io la catena di INPUT è relativa ai pacchetti diretti al Firewall, e se interpreto la regola scritta essa dice "fai passare tutti i pacchetti in ingresso dalla LAN aventi qualunque indirizzo sorgente(0/0) e per qualunque destinazione(-d 0/0). Ma se la catena di input ci sono i pacchetti indirizzati proprio al firewall che senso avrebbe mettere qualunque destinazione?
Una regola del genere la potrei capire sulla catena di forward........ma di INPUT..... :sisi:

con questa riga

Codice: Seleziona tutto

echo  1 >  /proc/sys/net/ipv4/ip_forward
abilito il forwarding tra le due schede, allora ha senso aggiungere anche queste due regole sotto:

Codice: Seleziona tutto

iptables –A FORWARD –i eth1 –o eth0 –j ACCEPT
iptables –A FORWARD –i eth0 –o ethi –j ACCEPT
Evidentemente c'è qualcosa...che proprio non riesco a vedere....potete aiutarmi a capire dove sbaglio??
Ritorna su
toma.luca95
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 750
Iscrizione: giovedì 25 febbraio 2010, 19:32

Re: chiarimento iptables - catene di Input forward e outout

Messaggio da toma.luca95 »

L'IP di destinazione sulla catena di input ha senso in quanto tu puoi avere un numero N di IP sulla tua macchina e vuoi magari abilitare a connettersi solo su uno di questi.
È anche da dire che inserire cose come da/verso 0/0 è inutile perché non restringe il campo di validità e per tanto è solo roba in più messa sulla riga di comando.
Poi, quell'echo abilita il kernel a fare il forward dei pacchetti, predisponendo tutto il necessario, poi con iptables tu dici bene chi può andare dove.
Di base per capire iptables si deve provare molto, magari con l'aiuto di un paio di macchine virtuali
Ritorna su
Scrivi risposta

Ritorna a “Ubuntu su server”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 1 ospite