Salve raga sono nuovo qui complimenti per questo meraviglioso forum!!!
Mi ritrovo con un dubbio col mio firewall (iptables)
ecco il mio esempio:
91.121.xxx.xxx:4009 => 79.56.xxx.xxx:4626 (scarico nel mio pc un file da un server)
4009 è la porta in uscita e la 4626 dovrebbe essere in ingresso cioè quella in ascolto dove io sto ricevendo.
Ora vi chiedo come faccio ad usare la 4626 se sul mio firewall in ingresso ho tutto chiuso?
Mi hanno parlato di un'influenza che può avere il TCP ad autorizzare dei programmi sulla base del loro nome...
Vorrei delle delucidazioni a riguardo.
Grazie anticipatamente
Dubbi con delle porte
Moderatore: Federico.Lagni
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Non ho capito bene cosa vuoi fare e la situazione attuale, il firewall puó fare NAT o PAT, ad esempio se hai un indirizzo internet 80.x.x.x ed uno interno 192.x.x.x puoi fare ad esempio:
NAT - tutto quello che arriva sulla 80.x.x.x porta 80 giralo su 192.x.x.5 porta 80
PAT - tutto quello che arriva sulla 80.x.x.x porta 80 giralo su 192.x.x.5 porta 10000
quando configuri questo in realtá stai agendo sulle regole e sul routing del firewall, quindi "apri" le relative porte.
NAT - tutto quello che arriva sulla 80.x.x.x porta 80 giralo su 192.x.x.5 porta 80
PAT - tutto quello che arriva sulla 80.x.x.x porta 80 giralo su 192.x.x.5 porta 10000
quando configuri questo in realtá stai agendo sulle regole e sul routing del firewall, quindi "apri" le relative porte.
Manipolatore di bit.
-
shuttle00
- n00b
- Messaggi: 3
- Iscritto il: dom 12 apr , 2009 11:44 pm
Grazie Andrea per la risposta.
Quello che sto cercando di capire è come mai riesco a scaricare
nonostante il mio firewall abbia tutto chiuso in ingresso.
Forse perchè i firewall solitamente bloccano connessioni verso l'esterno e non dall'interno?
Nel mio esempio mi ritrovo in ingresso questa porta aperta la 4626.
91.121.xxx.xxx:4009 => 79.56.xxx.xxx:4626
ecco il mio iptables che di default si blocca il traffico in ingresso
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
Quello che sto cercando di capire è come mai riesco a scaricare
nonostante il mio firewall abbia tutto chiuso in ingresso.
Forse perchè i firewall solitamente bloccano connessioni verso l'esterno e non dall'interno?
Nel mio esempio mi ritrovo in ingresso questa porta aperta la 4626.
91.121.xxx.xxx:4009 => 79.56.xxx.xxx:4626
ecco il mio iptables che di default si blocca il traffico in ingresso
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
-
ep
- Network Emperor
- Messaggi: 260
- Iscritto il: sab 06 dic , 2008 11:36 am
È una domanda più "Linux" che "Networking" (in caso spero che un mod ci sposti di topic…)
iptables, come tutti gli firewall "stateful" (cioè che non guardano ogni pacchetto come entità autonoma, ma tengono traccia della connessione a cui appartiene), quando tu inizi una connessione in uscita (cosa che puoi fare perché hai ACCEPT), se lo segna in una apposita tabella.
Se sei curioso, la tabella viene gestita dal modulo "conntrack" e puoi osservarla con un bel
.
La riga
che hai copiato dice ad iptables che se un pacchetto in ingresso viene identificato come appartenente ad una connessione già stabilita, allora viene accettato. Ecco come mai funziona 
Ci sono anche regole per autorizzare il traffico su altre basi più esotiche (ad es. quale utente ha eseguito il programma che ha generato il pacchetto), ma in questo caso non c'entrano.
Ciao!
iptables, come tutti gli firewall "stateful" (cioè che non guardano ogni pacchetto come entità autonoma, ma tengono traccia della connessione a cui appartiene), quando tu inizi una connessione in uscita (cosa che puoi fare perché hai ACCEPT), se lo segna in una apposita tabella.
Se sei curioso, la tabella viene gestita dal modulo "conntrack" e puoi osservarla con un bel
Codice: Seleziona tutto
cat /proc/net/ip_conntrackLa riga
Codice: Seleziona tutto
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTCi sono anche regole per autorizzare il traffico su altre basi più esotiche (ad es. quale utente ha eseguito il programma che ha generato il pacchetto), ma in questo caso non c'entrano.
Ciao!
-
shuttle00
- n00b
- Messaggi: 3
- Iscritto il: dom 12 apr , 2009 11:44 pm
...e quindi, considerato che ho anche un router cisco con le acl in deny sul tutto il traffico in ingresso si può dedurre che
anch'esso adotta lo stesso criterio.(eccetto casi particolari).
Per esempio un client crea una connessione iniziale con un server (il firewall autorizza una porta locale interna random o stabilita dal pat.)
Ditemi se ho capito il concetto gh
grazie
anch'esso adotta lo stesso criterio.(eccetto casi particolari).
Per esempio un client crea una connessione iniziale con un server (il firewall autorizza una porta locale interna random o stabilita dal pat.)
Ditemi se ho capito il concetto gh
grazie
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
Confermo che applica lo stesso criterio [Ma, se non erro, solo da porte con una security maggiore verso porte con sec. inferiore].
Sotto i router con la ios-firewall invece va applicato e configurato a mano, ma poi va da solo.
Sotto i router con la ios-firewall invece va applicato e configurato a mano, ma poi va da solo.
