whiplash wrote:

> Evidentemente, hai bisogno di una rinfrescata alle idee.

Magari fosse solo una rinfrescatina
alcune cose le sto approfondendo adesso, con il tempo, Mrs. google e il
vostro aiuto.

> Se hai una policy tipo
> iptables -P INPUT DROP
> i pacchetti udp della scansione nmap non ricevono alcuna
> risposta.
> Normalmente, una porta udp chiusa risponderebbe, se non ci fosse
> iptables di mezzo, con un bel icmp port unreachable ed nmap ti direbbe
> "porta chiusa".
> Non ricevendo alcunche' in risposta, viste le caratteeristiche del
> protocollo di trasorto in esame, nmap suppone che le porte siano
> aperte mentre, in realta', iptables ha droppato i pacchetti.

OK, ma se in fondo alla catena di INPUT ho messo questa regola:
$IPTABLE -A lanext -p tcp -j REJECT --reject-with tcp-reset

non conta niente ? Facendo il tcp-reset non dovrei risolvere il prob ? O
forse dovrei modificare il target in DROP (avendo la policy di default a
DROP) ?

P.S. Grazie per la pazienza.... finchè dura
--
Rizio

On Fri, 24 Oct 2003 12:28:38 +0000, Rizio wrote:

> OK, ma se in fondo alla catena di INPUT ho messo questa regola:
> $IPTABLE -A lanext -p tcp -j REJECT --reject-with tcp-reset

Questa fa un reject dei pacchetti tcp con un RST
(io ci avrei messo un -m state --state NEW,INVALID, in piu')
Ergo, non c'entra nulla con l'udp.

> non conta niente ? Facendo il tcp-reset non dovrei risolvere il prob ? O
> forse dovrei modificare il target in DROP (avendo la policy di default a
> DROP) ?

Puoi, se proprio ci tieni, inserire un

$IPTABLE -A lanext -p udp -m state --state NEW,INVALID -j REJECT

whiplash wrote:

> On Fri, 24 Oct 2003 12:28:38 +0000, Rizio wrote:
>
>> OK, ma se in fondo alla catena di INPUT ho messo questa regola:
>> $IPTABLE -A lanext -p tcp -j REJECT --reject-with tcp-reset
>
> Questa fa un reject dei pacchetti tcp con un RST
> (io ci avrei messo un -m state --state NEW,INVALID, in piu')
> Ergo, non c'entra nulla con l'udp.

Ops...scusa la distrazione (come il nostro buon Davide insegna e racconta
mentre porto avanti le varie prove continuano a succedere cose così urgenti
da dover essere già state fatte ieri )

>> non conta niente ? Facendo il tcp-reset non dovrei risolvere il prob ? O
>> forse dovrei modificare il target in DROP (avendo la policy di default a
>> DROP) ?
>
> Puoi, se proprio ci tieni, inserire un
>
> $IPTABLE -A lanext -p udp -m state --state NEW,INVALID -j REJECT

Tkn's a lot for all

--
Rizio