[iptables] perchè non funzionano le policy?[risolto]

[drumpaul]

Il problema è presto detto, il settaggio della policy sembra non aver effetto... o meglio se utilizzo una politica di DROP e poi inserisco le regole per abilitare solo un certo tipo di traffico mi viene droppato tutto a prescindere.
Premetto che le regole che utilizzo le ho estrapolate da vari how-to e documentazione varia e in passato hanno funzionato anche 'con me'!

Ora mi chiedo (posto che le regole siano giuste) perchè la policy, in particolare quella di DROP, sembra non funzionare correttamente?
Può dipendere da qualche impostazione del kernel che non ho abilitato?

Illuminatemi per favore!

Ciao!

PS
Per completezza di test ho provato la politica inversa a quella che vorrei utilizzare io, cioè ACCEPT e poi come ultima regola della catena in questione DROP ALL from e to ANYWHERE e così sembra funzionare, però siccome la macchina è solo uno strumento voglio che faccia quello che decido io o nel caso mi basterebbe capire quest'arcano comportamento.

[Kernel78]

A quanto ne so io iptables legge e applica le regle in ordine ...
Se come prima regola metti un drop di tutto nessun pacchetto andrà mai oltre ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con

[fat_penguin]

[Kernel78]

[fat_penguin]

[drumpaul]

@Kernel78:
Si le policy sono importanti, o per lo meno molto utili in adozione di certe politiche, poi ovviamente si possono ottenere gli stessi risultati in vari modi, però personalmente e facendo riferimento al mio caso ritengo che sia molto pratico nonchè concettualmente corretto in un firewall negare tutto e permettere solo quello che si vuole.

@fat_penguin scusa non ho ben capito il suggerimento, cmq posto un iptables -L

[fat_penguin]

Ciao,
se vuoi puoi partire da questo script d'esempio per configurare il tuo firewall.

E' rudimentale e forse non molto elegante, ma fa il suo dovere. E' chiaramente per una proteggere una macchina standalone!
Lo lanci e lui mette a zero l'attuale conf di netfilter e setta le nuove regole tramite il comando iptables...

[drumpaul]

Ok, magari lo provo, però siccome il mio è un server mi serve capire perché questa situazione. Non per essere paranoico ma non vorrei fare un copia e incolla di soluzioni qua e la per poi non sapere esattamente da cosa mi sto difendendo o a cosa mi sto esponendo con certe regole.

Posto che il tuo script funzioni anche a me è apprezzabile ma non chiarisce il punto del mio problema che sono le policy. Se è come penso io, cioè un problema del mio server/iptables, così a occhio anche col tuo script dovrei avere gli stessi problemi, comunque ti faccio sapere.

Grazie per l'aiuto, altre soluzioni?

[fat_penguin]

[drumpaul]

Come non detto... con il tuo script funziona!
Ok, escludendo le regole che vengono assegnate alle catene, e posto che

[fat_penguin]

Allora, vediamo di capirci...
Se metti riga per riga in una shell quello che sta nello script ottieni lo stesso identico risultato.... non ci piove e non puo' essere diversamente!!!!

Eccoti qualche spiegazione in piu, magari ti chiarisce il concetto:

Queste righe, come ha detto tu, resettano le varie tabelle e catene. In questo modo metti tutto a zero per evitare che alcune regole precedenti restino attive.

[drumpaul]

Forse ci sono:

nella fattispecie questa regola sembra non funzionare:

[fat_penguin]

[drumpaul]

La questione non sta in quello che voglio ottenere, ma dal fatto che in un caso (il tuo) la policy DROP 'ha effetto', mentre nel mio la policy DROP non ha effetto.

Vedo anch'io la differenza tra le 2regole, ma ho testato anche da altre parti, nonchè in precedenza sul mio stesso pc che la mia regola accetta il ping su localhost; la tua anche (nonostante sia diversa dalla mia), ma il punto è che nella situazione attuale pingando con la tua funge con la mia no (sempre tenendo conto della catena INPUT con policy DROP).

Riassumendo, posto che la nostra chain INPUT abbia la politica DROP, le 2 regole sono differenti ma entrambe consentono il ping su localhost,giusto?
ora perchè riesco a pingare localhost solo con la tua e con la mia no?

Ora mi verrebbe da chiederti se la 'mia' regola a te funziona con la policy INPUT DROP, dopodiché non so, cambierò politica di filtraggio... (anche se la cosa mi darebbe fastidio)!

[fat_penguin]

[drumpaul]

No, anche accettando l'icmp in OUTPUT c'è lo stesso problema... ma scusa pingando localhost che pacchetti devono uscire?
Con la tua regola in INPUT, OUTPUT e INPUT vuote e tutte le chain in policy DROP il ping su localhost funziona quindi cmq non penso sia quello il problema.
La situazione che sto cercando di testare è quella che ho quotato in un precedente messaggio.
Ora sto solo testando/cercando di capire il problema con la regola per abilitare il ping su localhost.

[fat_penguin]

[drumpaul]

Ehm non penso che quello che sostieni sia del tutto corretto, cmq ammetto le mie eventuali lacune.
Per quanto riguarda scriverti tutti i comandi che digito sarebbe lunga... in compenso ti posso far vedere la configurazione del mio iptables!

Ora cerchiamo di chiarire 1paio di cose, se no mi sa che non ci capiamo!

Poni che la situazione del mio iptables è la seguente:

[fat_penguin]

[drumpaul]

Ohhh ecco che ci siamo!
Però se permetti non eri stato proprio così chiaro, cmq faccio anche un mea culpa perchè (oltre a non esprimermi benissimo, lo ammetto) avevo tralasciato l'importanza di tale regola che in effetti risolve il 'problema'!

Quindi riepilogando la regola

[X-Act!]

Non vorrei dire una ca**ata, ma se vuoi poter mandare un ping e ricevere la risposta o accetti comunque le connessioni già established come ti ha suggerito giustamente fat_penguin (cose che comunque mi sembra necessaria per qualsiasi protocollo) oppure devi permettere non solo echo-request in un verso, ma anche echo-reply nell'altro.

Ecco quindi la differenza tra la tua regola

[randomaze]

Moved from Forum italiano (Italian) to Forum di discussione italiano.

[drumpaul]

Ti assicuro che basta l'echo-request però sia in entrata che in uscita, per lo meno nel mio caso, poi non ho testato come dici tu.
In teoria avresti ragione ma non so spiegarti tecnicamente cosa avviene in entrambi i casi.

[Kernel78]

[drumpaul]

Ok come non detto!Ma la mia risposta precedente è dal fatto che io non ho autorizzato nessun echo-reply eppure il ping funziona...
non saprei e cmq giuro di aver capito + o - il funzionamento, la spiegazione è chiara ma io sul mio server ho un comportamento quantomeno diverso, eppure uso la politica di DROP..!non saprei ke dirti!

farò ulteriori prove e poi ti dico!
cmq grazie per la spiegazione chiara