iptables ed entry dinamiche
Un saluto a tutta la lista per iniziare ! Avrei bisogno di un chiarimento, facile da provare, ma sotto mano non ho strumenti per verificare. Se io aggiungo una regola di iptables relativa ad una entry miodominio.dyndns.org, ovviamente l'IP associato alla entry cambia (spesso). Iptables memorizza la regola relativamente al dominio oppure alla risoluzione al momento della creazione della regola ? Avete capito cosa intendo... se la regola viene correlata alla stringa e tale stringa viene risolta ogni volta che si verifica , si possono inserire regole dinamiche verso IP che cambiano, se la regola viene creata staticamente al momento dell'inserimento, puntando direttamente all'IP risolto in tale istante... non funzionerà un filtraggio verso entry dyndns o simili. Nel secondo caso, penso che l'unica sia fare un refresh delle regole facendole puntare verso il nuovo IP risolto dal DNS dinamico. Secondo voi, quale opzione è quella corretta ? grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables ed entry dinamiche
capisco.. forse allora è più veloce farlo da script (nel senso che non carico troppo iptables). Se in cron ogni 5 minuti faccio fare un controllo, se la entry è cambiata allora faccio una modifica alla regola di iptables (statica). Così lui continua a filtrare con entry statiche e non si rallenta troppo. Che ne dite ? -- Original Message --- From: Paolo Sala piv...@riminilug.it To: debian-italian debian-italian@lists.debian.org Sent: Tue, 07 Jul 2009 16:23:58 +0200 Subject: Re: iptables ed entry dinamiche dea scrisse in data 07/07/2009 16:06: Un saluto a tutta la lista per iniziare ! Avrei bisogno di un chiarimento, facile da provare, ma sotto mano non ho strumenti per verificare. Se io aggiungo una regola di iptables relativa ad una entry miodominio.dyndns.org, ovviamente l'IP associato alla entry cambia (spesso). Iptables memorizza la regola relativamente al dominio oppure alla risoluzione al momento della creazione della regola ? Dovrebbe risolvere tutte le volte il nome di dominio... attenzione però che iptables ovviamente si rallenta parecchio. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org --- End of Original Message --- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables ed entry dinamiche
dea scrisse in data 07/07/2009 16:06: Un saluto a tutta la lista per iniziare ! Avrei bisogno di un chiarimento, facile da provare, ma sotto mano non ho strumenti per verificare. Se io aggiungo una regola di iptables relativa ad una entry miodominio.dyndns.org, ovviamente l'IP associato alla entry cambia (spesso). Iptables memorizza la regola relativamente al dominio oppure alla risoluzione al momento della creazione della regola ? Dovrebbe risolvere tutte le volte il nome di dominio... attenzione però che iptables ovviamente si rallenta parecchio. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables ed entry dinamiche
emmanuel segura scrisse in data 07/07/2009 16:56: a me non sembra che iptables risolva ogni volta.lui mette nella sua entry l'ip che trova in fase d'inserimento della regola.quindi se quando inserisco la regola iptables -A INPUT -p tcp --dport 80 --syn -s microsoftd.ca.ca http://microsoftd.ca.ca -j DROP microsoftd.ca.ca http://microsoftd.ca.ca = 111.111.111 non è che se l'ip cambia la regola cambiera,quindi rimarra iptables -A INPUT -p tcp --dport 80 --syn 111.111.111 -j DROP Riporto il messaggio in in lista. Io in effetti ho usato il condizionale perché mi ricordo dalla documentazione di aver letto così ma in effetti non ho mai provato e non so adesso come ricercare la fonte del mio ricordo. A questo punto Luca prova e facci sapere. Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables ed entry dinamiche
Bene ! Provo a crearmi una entry su un DYNDNS e faccio un po di prove. Vi faccio sapere, magari a qualcuno può essere utile ;) Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables ed entry dinamiche (conclusione)
Ok, ho fatto due prove... ed ecco la conclusione. Le regole di IPtables sono assolutamente statiche. Se cambia l'IP dell'entry DNS (ovvero la normalità per DNS dinamici) la regola rimane quella precedente, non viene aggiornata. Non rimane che fare un piccolo script (in CRON) che verifichi se l'IP è cambiato ed adatti la regola. Il che è anche ragionevole. Se per ogni connessione (o tentata connessione) IPtables dovesse richiedere la risoluzione delle entry DNS nelle sue tavole, sarebbe troooppo lento, impossibile, almeno per un firewall. Per altri servizi (per esempio un SMTP server) potrebbe anche essere tollerabile verificare la risoluzione delle entry (anche se già questo lo rallenta) figurarsi IPtables / EBtables, penso sarebbe impossibile. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
