Re: iptables ed entry dinamiche (conclusione)

2009-07-07 Per discussione dea 

Ok, ho fatto due prove... ed ecco la conclusione.

Le regole di IPtables sono assolutamente statiche. Se cambia l'IP dell'entry
DNS (ovvero la normalità per DNS dinamici) la regola rimane quella precedente,
non viene aggiornata.

Non rimane che fare un piccolo script (in CRON) che verifichi se l'IP è
cambiato ed adatti la regola.

Il che è anche ragionevole. Se per ogni connessione (o tentata connessione)
IPtables dovesse richiedere la risoluzione delle entry DNS nelle sue tavole,
sarebbe troooppo lento, impossibile, almeno per un firewall. Per altri
servizi (per esempio un SMTP server) potrebbe anche essere tollerabile
verificare la risoluzione delle entry (anche se già questo lo rallenta)
figurarsi IPtables / EBtables, penso sarebbe impossibile.

Grazie

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: iptables ed entry dinamiche

2009-07-07 Per discussione dea 

Bene !

Provo a crearmi una entry su un DYNDNS e faccio un po di prove.

Vi faccio sapere, magari a qualcuno può essere utile ;)

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: iptables ed entry dinamiche

2009-07-07 Per discussione Paolo Sala 
emmanuel segura scrisse in data 07/07/2009 16:56:
> a me non sembra che iptables risolva ogni volta.lui mette nella sua
> entry l'ip che trova in fase d'inserimento della regola.quindi se
> quando inserisco la regola
>
> iptables -A INPUT -p tcp --dport 80 --syn -s microsoftd.ca.ca
>  -j DROP
> microsoftd.ca.ca  = 111.111.111
>
> non è che se l'ip cambia la regola cambiera,quindi rimarra "iptables
> -A INPUT -p tcp --dport 80 --syn 111.111.111 -j DROP"
Riporto il messaggio in in lista.

Io in effetti ho usato il condizionale perché mi ricordo dalla
documentazione di aver letto così ma in effetti non ho mai provato e non
so adesso come ricercare la fonte del mio ricordo. A questo punto Luca
prova e facci sapere.

Piviul


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: iptables ed entry dinamiche

2009-07-07 Per discussione dea 

capisco.. forse allora è più veloce farlo da script (nel senso che non carico
troppo iptables).

Se in cron ogni 5 minuti faccio fare un controllo, se la entry è cambiata
allora faccio una modifica alla regola di iptables (statica). Così lui
continua a filtrare con entry statiche e non si rallenta troppo.

Che ne dite ?

-- Original Message ---
From: Paolo Sala 
To: debian-italian 
Sent: Tue, 07 Jul 2009 16:23:58 +0200
Subject: Re: iptables ed entry dinamiche

> dea scrisse in data 07/07/2009 16:06:
> > Un saluto a tutta la lista per iniziare !
> >
> > Avrei bisogno di un chiarimento, facile da provare, ma sotto mano non ho
> > strumenti per verificare.
> >
> > Se io aggiungo una regola di iptables relativa ad una entry
> > "miodominio.dyndns.org", ovviamente l'IP associato alla entry cambia 
> > (spesso).
> >
> > Iptables memorizza la regola relativamente al dominio oppure alla 
> > risoluzione
> > al momento della creazione della regola ?
> >   
> Dovrebbe risolvere tutte le volte il nome di dominio... attenzione però
> che iptables ovviamente si rallenta parecchio.
> 
> Ciao
> 
> Piviul
> 
> -- 
> Per REVOCARE l'iscrizione alla lista, inviare un email a 
> debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". 
> Per problemi inviare un email in INGLESE a listmas...@lists.debian.org
> 
> To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
--- End of Original Message ---


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: iptables ed entry dinamiche

2009-07-07 Per discussione Paolo Sala 
dea scrisse in data 07/07/2009 16:06:
> Un saluto a tutta la lista per iniziare !
>
> Avrei bisogno di un chiarimento, facile da provare, ma sotto mano non ho
> strumenti per verificare.
>
> Se io aggiungo una regola di iptables relativa ad una entry
> "miodominio.dyndns.org", ovviamente l'IP associato alla entry cambia (spesso).
>
> Iptables memorizza la regola relativamente al dominio oppure alla risoluzione
> al momento della creazione della regola ?
>   
Dovrebbe risolvere tutte le volte il nome di dominio... attenzione però
che iptables ovviamente si rallenta parecchio.

Ciao

Piviul


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org