20-05-2006, 12:02 PM
Ciao a tutti!
Ho letto avidamente l'articolo sul firewall personalizzato, e ho impostato un firewall un po' piu' sofisticato (interfacce di rete diverse, forwarding) ma con lo stesso concetto operativo.
Non mi funzionava, tuttavia, e non capivo perché:
grazie ad un amico ho appurato che il problema sta nella spiegazione delle policy di default!
Infatti, le policy d default (DROP DROP DROP) dovrebbero essere applicate solo ai pacchetti che NON matchano altre regole.
La cosa si puo' fare o mettendole IN FONDO al firewall (e non in cima, come nell'articolo), oppure impostandole all'inizio come policy di default:
Ho letto avidamente l'articolo sul firewall personalizzato, e ho impostato un firewall un po' piu' sofisticato (interfacce di rete diverse, forwarding) ma con lo stesso concetto operativo.
Non mi funzionava, tuttavia, e non capivo perché:
grazie ad un amico ho appurato che il problema sta nella spiegazione delle policy di default!
Infatti, le policy d default (DROP DROP DROP) dovrebbero essere applicate solo ai pacchetti che NON matchano altre regole.
La cosa si puo' fare o mettendole IN FONDO al firewall (e non in cima, come nell'articolo), oppure impostandole all'inizio come policy di default:
Codice:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
In questo modo, i pacchetti passano tutte le regole del firewall e se non matchano nessuna allora viene applicata la policy di default.
Nell'articolo, invece, era usata la sintassi
Codice:
iptables -A INPUT -p all -j DROP
il che significa che i pacchetti in ingresso vengono droppati. E con "droppati" intendo dire che non vengono nemmeno passati alle successive regole del firewall!!!
Per questo, se non si vuole impostare il default sotto forma di policy come segnalo sopra, allora la riga di default va messa in fondo al fw, per la serie ("se non matcha nessuna regola, allora di default droppalo")
Grazie a Giacomo per avermi fatto notare la cosa