[Lugge] Re: iptables mi fa incazzare!!!!!

  • From: "Roberto A. Foglietta" <me@xxxxxxxxxxxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Fri, 08 Oct 2004 12:10:37 +0200

Bertorello Marco ha scritto:

Mi sto ricoglionendo di brutto oppure è iptables che è infinitamente
str^h ehm... brutto sporco e cattivo ?!?

questa regola funziona:

iptables -A FORWARD -s $public_ip1 --sport=80 -p tcp -dport 1024:65535
-p tcp -m state ESTABLISHED -j ACCEPT

quest'altra no:

iptables -A FORWARD -s $public_ip1 --sport=443 -p tcp -dport 1024:65535
-p tcp -m state ESTABLISHED -j ACCEPT

mi restituisce unknown arg --sport, ma le regole sono sintatticamente
identiche!

perchè, perchè, perchè?

P.S.

ho googlato e c'è gente che ha il mio stesso problema, dice di aver risolto utilizzando -p tcp prima di --sport, ma se lo faccio, mi dice

unknown host/port =443

scusate l'x-post ma ho i forconi puntati alla schiena


iptables -A FORWARD -s $ip -m tcp -p tcp --sport 80 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

l'opzione -m carica dei moduli di estensione, per identificare il tipo di pacchetto come da manuale è tcp per poter poi usare -p anche se l'opzione in se stessa potrebbe caricare il modulo automaticamente (come ti accadeva) a patto che -p tcp lo si metta davanti (quella magia che pareva funzionare ad alcui). Inoltre -p non va ripetuto (non serve, il pacchetto non cambia stato esistenziale all'attraversare iptable, se è un tcp resta tale)
Invece dopo modulo -m state conviene usare il flag --state altrimenti ci sono serie probabilità che non venga interpretato per nulla oppure solo in parte.


Il risultato del comando sopra è il seguente:

[root@nbraf roberto]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
all -- 217.23.34.12 anywhere
ACCEPT tcp -- 217.23.34.12 anywhere tcp spt:http dpts:1024:65535 state ESTABLISHED


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Quanto detto è stato tratto da questa parte del man di iptable che segue:

MATCH EXTENSIONS
iptables can use extended packet matching modules. These are loaded in
two ways: implicitly, when -p or --protocol is specified, or with the
-m or --match options, followed by the matching module name; after
these, various extra command line options become available, depending
on the specific module. You can specify multiple extended match mod-
ules in one line, and you can use the -h or --help options after the
module has been specified to receive help specific to that module
state
This module, when combined with connection tracking, allows access to
the connection tracking state for this packet.


--state state
Where state is a comma separated list of the connection states
to match. Possible states are INVALID meaning that the packet
could not be identified for some reason which includes running
out of memory and ICMP errors which don't correspond to any
known connection, ESTABLISHED meaning that the packet is associ-
ated with a connection which has seen packets in both direc-
tions, NEW meaning that the packet has started a new connection,
or otherwise associated with a connection which has not seen
packets in both directions, and RELATED meaning that the packet
is starting a new connection, but is associated with an existing
connection, such as an FTP data transfer, or an ICMP error.


tcp
These extensions are loaded if `--protocol tcp' is specified. It pro-
vides the following options:


--source-port [!] port[:port]
Source port or port range specification. This can either be a
service name or a port number. An inclusive range can also be
specified, using the format port:port. If the first port is
omitted, "0" is assumed; if the last is omitted, "65535" is
assumed. If the second port greater then the first they will be
swapped. The flag --sport is a convenient alias for this
option.


--destination-port [!] port[:port]
Destination port or port range specification. The flag --dport
is a convenient alias for this option.




Okkio, hai forconi che pungono!
;-)


Ciao,

--
Roberto A. Foglietta
http://www.roberto.foglietta.name
http://www.lugge.net

========----------

Archivio delle e-mail postate in lista http://www.freelists.org/archives/lugge/

Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/index.php?mod=cosa_facciamo/gruppo_di_discussione
Modifica dell'account sulla lista LUGGe http://www.lugge.net/index.php?mod=cosa_facciamo/gruppo_di_discussione#list



Other related posts: