Linuxtrent: R: Iptables

• From: "Andrea Gelpi" <liste@xxxxxxxx>
• To: <linuxtrent@xxxxxxxxxxxxx>
• Date: Thu, 4 Oct 2001 01:19:26 +0200

Puoi farti un log con iptables.
Se duplichi ciascuna regola cambiando il target con LOG puoi vedere il giro
dei pacchetti in /var/log/messages.

Comunque il giro e questo:

Quando un pacchetto arriva su una qualche interfaccia va prima di tutto
sulla chain PREROUTING della tabella nat per vedere se ci sono regole per il
destination nat, cioe verifica se deve essere cambiato il destination
address.
Dopo si passa alla tabella filter che determina dove il pachetto deve
andare. Se il destination address e fra quelli di una interfaccia il
pacchetto guarda le regole della chain INPUT, diversamente guarda quelle
della chain FORWARD.
Se il pacchetto era destinato ad una interfaccia del PC dopo la chain INPUT
il pacchetto e arrivato.
Se invece e passato dalla chain FORWARD ritorna alla tabella nat nella chain
POSTROUTING per il source nat, cioe per vedere se ci sono regole per
cambiare il source address. E' qui che vanno messe ad esempio le regole di
masquerading.

Se un pacchetto nasce dal PC in questione le chain cambiano.
La prima e nella tabella nat la chain OUTPUT dove e possibile cambiare il
destination address.
Poi si passa alla tabella filter, chain OUTPUT dove vengono valutate le
regole prima di uscire.
Per ultimo si torna alla tabella nat, chain POSTROUTING dove e possibile
cambiare il source address.

Tutte le chain hanno una policy di default ACCEPT o DROP.

Bisogna fare attenzione ai DROP. Se metti in DROP la PREROUTING della
tabella nat e non metti regole di destination nat nessun pacchetto arrivera
alla tabella filter, quindi tutto cio che arriva a quel PC viene droppato.

Le cose le trovi spiegate bene sugli HOWTO in inglese che trovi sul sito di
netfilter.


Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------

-----Messaggio originale-----
Da: linuxtrent-bounce@xxxxxxxxxxxxxxxxx
[mailto:linuxtrent-bounce@xxxxxxxxxxxxxxxxx]Per conto di Stefano M
Inviato: martedi 2 ottobre 2001 16.18
A: linuxtrent@xxxxxxxxxxxxx
Oggetto: Linuxtrent: Iptables



Ave!
Sapete se esiste un software che mi permetta di capire che "strada"
prendono i pacchetti all'interno delle regole che ho stabilito con iptables?

Ciao

--
Stefano Morandi
Resp. Tecnico
CEntro SErvizi CGIL del Trentino

--
PROSSIMA ASSEMBLEA: venerdi` 19 ottobre 2001 20:30 a Madrano di Pergine.

Per iscriversi  (o disiscriversi), basta spedire un  messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx


-- 
PROSSIMA ASSEMBLEA: venerdi` 19 ottobre 2001 20:30 a Madrano di Pergine.

Per iscriversi  (o disiscriversi), basta spedire un  messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx

• Follow-Ups:
  • Linuxtrent: Re: R: Iptables
    • From: Stefano M

• References:
  • Linuxtrent: Iptables
    • From: Stefano M

Other related posts:

• » Linuxtrent: R: Iptables

1. Home
2. linuxtrent
3. Archive
4. 10-2001

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---