stateful firewall issues (Was Re: Think Simple!)

[Giorgos Keramidas]

On 2006-09-05 03:02, george <zakinthinos at freemail.gr> wrote:
> Giorgos Keramidas wrote:
> >Τι νομίζεις ότι κάνει ο παρακάτω κανόνας;
> >
> >    iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED \
> >        -s $PPP_LOCAL -j ACCEPT
>
> οτι κανει και το iptables -P OUTPUT ACCEPT ?  επιτρεπει νεες
> συνδεσεις στον χρηστη και αφηνει οσα πακετα ανηκουν σε
> ESTABLISHED,RELATED να περνανε προς τα εξω

Ακριβώς.

Πώς είναι ο _ακριβώς_ αντίστοιχος κανόνας για INPUT κατεύθυνση
(οι διαφορές είναι ότι λείπει το 'NEW' και δεν είναι μόνο
$PPP_LOCAL πλέον το source address):

    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Βλέπεις τίποτα για ``--dport 1024:'' εδώ;  Οχι.  Γιατί;

Για να σε βοηθήσω, το connection tracking θα παίξει σωστά ακόμα και
χωρίς το ενοχλητικότατο ``--dport 1024:'', αφού ο τρόπος με τον οποίο
γίνεται η αντιστοιχία ενός εισερχόμενου πακέτου σε υπάρχουσα σύνδεση
είναι ακριβώς ο ίδιος είτε το destination port number είναι >= 1024 είτε
όχι.  Ο τρόπος αυτός περιγράφεται, αν σε ενδιαφέρει τόσο πολύ το θέμα,
στο Netfilter-Hacking-HOWTO:

   http://www.netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO.html

> παντως πεσαμε στις δυο γραμμες, προοδος , προοδος

Μόλις βγάλεις και το ``--dport 1024:'', που έχει μαλλιάσει η γλώσσα μου
να λέω πόσο άχρηστο είναι, θα είναι ακόμα μεγαλύτερη η πρόοδος.