Pagina 1 di 1
Regola firewall sconosciuta
Inviato: martedì 3 febbraio 2009, 7:14
da erpomata
Ogni tanto mi ritrovo questa regola:
Chain INPUT (policy DROP)
target prot opt source destination
QUEUE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
QUEUE all -- anywhere anywhere
Come potete aver capito non sono stato io ad inserirla.
Che cos'è il target QUEUE?
Dove posso vedere per correggere il problema?
Grazie
Re: Regola firewall sconosciuta
Inviato: mercoledì 4 febbraio 2009, 11:06
da martin1963
Re: Regola firewall sconosciuta
Inviato: mercoledì 4 febbraio 2009, 12:17
da erpomata
Grazie per la risposta ma li non c'è scritto nulla in merito a QUEUE.
Questo è quello che ho trovato in giro per la rete:
http://www.netfilter.org/documentation/ ... WTO-7.html
Obiettivi speciali già disponibili
Codice: Seleziona tutto
Ci sono due obiettivi speciali già disponibili: : RETURN e QUEUE.
RETURN ha lo stesso effetto di quando si arriva alla fine di una catena: se l'ultima regola appartiene a una catena predefinita, allora viene eseguita la tattica della catena. Altrimenti se appartiene ad una catena definita dall'utente, si prosegue con la catena precedente, con la regola successiva a quella che aveva causato il salto nella catena dell'utente.
QUEUE è un obiettivo speciale, che accoda i pacchetti per elaborazioni userspace. Perché possa essere utile sono necessari ulteriori componenti:
* un "gestore delle code", che si occupi dell'attuale meccanismo di passaggio tra il kernel e lo userspace, e
* un'applicazione userspace che riceva, possibilmente manipoli ed emetta verdetti sui pacchetti.
Il gestore standard della coda, per IPV4 e iptables, è il modulo ip_queue, distribuito con il kernel ancora come sperimentale.
Il seguente è un esempio veloce di come si possa usare iptables per accodare i pacchetti per elaborazioni userspace:
# modprobe iptable_filter
# modprobe ip_queue
# iptables -A OUTPUT -p icmp -j QUEUE
Con questa regola i pacchetti ICMP generati localmente (creati diciamo con ping) sono passati al modulo ip_queue che tenta di consegnarli all'applicazione userspace. Se non c'è in attesa un'applicazione userspace i pacchetti saranno scartati.
Per scrivere un'applicazione userspace, usa le API della libipq, distribuita con iptables. Sorgenti di esempio si possono trovare nella suite di tool di test (es. redirect.c) nella CVS.
Lo stato della ip_queue può essere verificato attraverso:
/proc/net/ip_queue
La lunghezza massima della coda (ossia il numero di pacchetti consegnati allo userspace senza emissione di verdetto) può essere controllata attraverso:
/proc/sys/net/ipv4/ip_queue_maxlen
Il valore di default della lunghezza massima della coda è fissata a 1024. Quando questo limite è raggiunto, i nuovi pacchetti saranno scartati finché la lunghezza della coda non tornerà nuovamente sotto il limite. Protocolli buoni come TCP interpretano i pacchetti scartati come congestione, e speranzosi rinunciano quando la coda è piena. Comunque può fare alcuni esperimenti per determinare una lunghezza massima ideale della coda per una certa situazione se il valore di default è troppo piccolo.
Il problema è che non ho capito chi installa quest caoda QUEUE.