[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico] [volume] [parte]


Capitolo 369.   IPTables

369.1   Inizializzazione

Punti di controllo della tabella filter di IPTables:

schema di funzionamento della tabella filter di IPTables

Il NAT si colloca negli esempi nel punto di controllo POSTROUTING, che rispetto alla tabella filter si trova all'uscita di FORWARD:

collocazione di POSTROUTING per il NAT

Comando Descrizione
iptables  -t filter -F
ip6tables -t filter -F
iptables  -t filter -X
ip6tables -t filter -X
iptables  -t mangle -F
ip6tables -t mangle -F
iptables  -t mangle -X
ip6tables -t mangle -X
iptables  -t nat    -F
iptables  -t nat    -X
Azzera tutte le tabelle standard di IPTables. La tabella mangle si azzera anche se poi non viene usata.
iptables  -t filter -P FORWARD ACCEPT
ip6tables -t filter -P FORWARD ACCEPT
iptables  -t filter -P INPUT   ACCEPT
ip6tables -t filter -P INPUT   ACCEPT
iptables  -t filter -P OUTPUT  ACCEPT
ip6tables -t filter -P OUTPUT  ACCEPT
Definisce una politica predefinita con cui si consente il passaggio di tutti i pacchetti.
iptables  -t filter -P FORWARD DROP
ip6tables -t filter -P FORWARD DROP
iptables  -t filter -P INPUT   DROP
ip6tables -t filter -P INPUT   DROP
iptables  -t filter -P OUTPUT  DROP
ip6tables -t filter -P OUTPUT  DROP
Definisce (in alternativa) una politica predefinita con cui si impedisce l'ingresso, l'attraversamento e l'uscita di qualunque pacchetto.

369.2   Eliminazione del traffico IPv4 impossibile

Comando Descrizione
iptables  -t filter -A INPUT   \
  \-s 127.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 127.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 127.0.0.0/8 -d 0/0 -o ppp0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 127.0.0.0/8 -d 0/0 -o ppp0 -j DROP
Blocca l'ingresso e l'uscita di pacchetti che hanno indirizzi di origine 127.*.*.* (loopback), provenienti o destinati all'interfaccia esterna.
iptables  -t filter -A INPUT   \
  \-s 10.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 10.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 10.0.0.0/8 -d 0/0 -o ppp0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 10.0.0.0/8 -d 0/0 -o ppp0 -j DROP
Blocca l'ingresso e l'uscita di pacchetti che hanno indirizzi di origine 10.*.*.*, ovvero indirizzi privati, provenienti o destinati all'interfaccia esterna. Si osservi che il punto di controllo FORWARD blocca i pacchetti solo in ingresso, per consentire l'uscita di pacchetti provenienti dalla rete locale, che poi il NAT deve trasformare opportunamente.
iptables  -t filter -A INPUT   \
  \-s 172.16.0.0/12 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 172.16.0.0/12 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 172.16.0.0/12 -d 0/0 -o ppp0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 172.16.0.0/12 -d 0/0 -o ppp0 -j DROP
Blocca l'ingresso e l'uscita di pacchetti che hanno indirizzi di origine da 172.16.*.* a 172.31.*.*, ovvero indirizzi privati, provenienti o destinati all'interfaccia esterna. Si osservi che il punto di controllo FORWARD blocca i pacchetti solo in ingresso, per consentire l'uscita di pacchetti provenienti dalla rete locale, che poi il NAT deve trasformare opportunamente.
iptables  -t filter -A INPUT   \
  \-s 192.168.0.0/16 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 192.168.0.0/16 -d 0/0 -i ppp0 -j DROP
iptables  -t filter -A FORWARD \
  \-s 192.168.0.0/16 -d 0/0 -o ppp0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 192.168.0.0/16 -d 0/0 -o ppp0 -j DROP
Blocca l'ingresso e l'uscita di pacchetti che hanno indirizzi di origine 192.168.*.*, ovvero indirizzi privati, provenienti o destinati all'interfaccia esterna. Si osservi che il punto di controllo FORWARD blocca i pacchetti solo in ingresso, per consentire l'uscita di pacchetti provenienti dalla rete locale, che poi il NAT deve trasformare opportunamente.

369.3   Eliminazione del traffico IPv6 impossibile

Comando Descrizione
ip6tables -t filter -A INPUT   \
  \-s ::1/128 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -o ppp0 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s ::1/128 -d 0/0 -o ppp0 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno l'indirizzo IPv6 di origine ::1 (localhost), provenienti o destinati all'interfaccia esterna.
ip6tables -t filter -A INPUT   \
  \-s ::1/128 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -o tun6to4 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s ::1/128 -d 0/0 -o tun6to4 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno l'indirizzo IPv6 di origine ::1 (localhost), provenienti o destinati all'interfaccia del tunnel.
ip6tables -t filter -A INPUT   \
  \-s fe80::/64 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -o ppp0 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s fe80::/64 -d 0/0 -o ppp0 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno un indirizzo di origine IPv6 di tipo link-local, provenienti o destinati all'interfaccia esterna. In questo caso, non esistendo il NAT, si può bloccare anche l'uscita del punto di controllo FORWARD.
ip6tables -t filter -A INPUT   \
  \-s fe80::/64 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -o tun6to4 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s fe80::/64 -d 0/0 -o tun6to4 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno un indirizzo di origine IPv6 di tipo link-local, provenienti o destinati all'interfaccia del tunnel. In questo caso, non esistendo il NAT, si può bloccare anche l'uscita del punto di controllo FORWARD.
ip6tables -t filter -A INPUT   \
  \-s fec0:0:0:1::/64 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -i ppp0 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -o ppp0 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s fec0:0:0:1::/64 -d 0/0 -o ppp0 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno un indirizzo di origine IPv6 di tipo site-local, provenienti o destinati all'interfaccia esterna. In questo caso, non esistendo il NAT, si può bloccare anche l'uscita del punto di controllo FORWARD.
ip6tables -t filter -A INPUT   \
  \-s fec0:0:0:1::/64 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -i tun6to4 -j DROP
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -o tun6to4 -j DROP
ip6tables -t filter -A OUTPUT  \
  \-s fec0:0:0:1::/64 -d 0/0 -o tun6to4 -j DROP
Blocca tutti gli ingressi e tutte le uscite dei pacchetti che hanno un indirizzo di origine IPv6 di tipo site-local, provenienti o destinati all'interfaccia del tunnel. In questo caso, non esistendo il NAT, si può bloccare anche l'uscita del punto di controllo FORWARD.

369.4   Abilitazione del traffico IPv4 e IPv6 essenziale

Comando Descrizione
iptables  -t filter -A INPUT  -p ipv6 \
  \-s 0/0 -d 0/0 -j ACCEPT
iptables  -t filter -A OUTPUT -p ipv6 \
  \-s 0/0 -d 0/0 -j ACCEPT
Consente l'ingresso e l'uscita di pacchetti riferiti a un tunnel IPv6 in IPv4 che parte dall'elaboratore contenente il firewall stesso.
iptables  -t filter -A INPUT   -p icmp \
  \-s 0/0 -d 0/0 -j ACCEPT
iptables  -t filter -A FORWARD -p icmp \
  \-s 0/0 -d 0/0 -j ACCEPT
iptables  -t filter -A OUTPUT  -p icmp \
  \-s 0/0 -d 0/0 -j ACCEPT
Consente tutto il traffico ICMPv4.
ip6tables -t filter -A INPUT   -p icmpv6 \
  \-s 0/0 -d 0/0 -j ACCEPT
ip6tables -t filter -A FORWARD -p icmpv6 \
  \-s 0/0 -d 0/0 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p icmpv6 \
  \-s 0/0 -d 0/0 -j ACCEPT
Consente tutto il traffico ICMPv6.
iptables  -t filter -A INPUT   -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
iptables  -t filter -A FORWARD -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
iptables  -t filter -A OUTPUT  -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
Consente tutto il traffico IDENT IPv4.
ip6tables -t filter -A INPUT   -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp  \
  \-s 0/0 -d 0/0 --dport 113 -j ACCEPT
Consente tutto il traffico IDENT IPv6.
iptables  -t filter -A INPUT   \
  \-s 127.0.0.0/8 -d 0/0 -i lo -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 127.0.0.0/8 -d 0/0 -i lo -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 127.0.0.0/8 -d 0/0 -o lo -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 127.0.0.0/8 -d 0/0 -o lo -j ACCEPT
Consente tutto il traffico interno al nodo (loopback) di tipo IPv4.
ip6tables -t filter -A INPUT   \
  \-s ::1/128 -d 0/0 -i lo -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -i lo -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s ::1/128 -d 0/0 -o lo -j ACCEPT
ip6tables -t filter -A OUTPUT  \
  \-s ::1/128 -d 0/0 -o lo -j ACCEPT
Consente tutto il traffico interno al nodo (loopback) di tipo IPv6.

369.5   Accesso a servizi interni al firewall, anche dalla rete esterna

Comando Descrizione
iptables  -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 80 -j ACCEPT
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 80 -j ACCEPT
iptables  -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 80 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 80 -j ACCEPT
Consente l'accesso al servizio HTTP contenuto nel nodo, sia dalla rete locale, sia dall'esterno.
iptables  -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 22 -j ACCEPT
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 22 -j ACCEPT
iptables  -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 22 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 22 -j ACCEPT
Consente l'accesso al servizio SSH contenuto nel nodo, sia dalla rete locale, sia dall'esterno.
iptables  -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 25 -j ACCEPT
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --dport 25 -j ACCEPT
iptables  -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 25 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --sport 25 -j ACCEPT
Consente l'accesso al servizio SMTP contenuto nel nodo, sia dalla rete locale, sia dall'esterno.

369.6   Accesso della rete privata al firewall e all'instradamento per l'esterno

Comando Descrizione
iptables  -t filter -A INPUT   \
  \-s 192.168.0.0/16 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 192.168.0.0/16 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 192.168.0.0/16 -d 0/0 -o eth0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 192.168.0.0/16 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico relativo alla rete privata 192.168.0.0/16 collegato all'interfaccia eth0.
iptables  -t filter -A INPUT   \
  \-s 172.16.0.0/12 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 172.16.0.0/12 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 172.16.0.0/12 -d 0/0 -o eth0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 172.16.0.0/12 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico relativo alla rete privata 172.16.0.0/12 collegato all'interfaccia eth0.
iptables  -t filter -A INPUT   \
  \-s 10.0.0.0/8 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 10.0.0.0/8 -d 0/0 -i eth0 -j ACCEPT
iptables  -t filter -A FORWARD \
  \-s 10.0.0.0/8 -d 0/0 -o eth0 -j ACCEPT
iptables  -t filter -A OUTPUT  \
  \-s 10.0.0.0/8 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico relativo alla rete privata 10.0.0.0/8 collegato all'interfaccia eth0.
ip6tables -t filter -A INPUT   \
  \-s fe80::/64 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s fe80::/64 -d 0/0 -o eth0 -j ACCEPT
ip6tables -t filter -A OUTPUT  \
  \-s fe80::/64 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico link-local collegato all'interfaccia eth0.
ip6tables -t filter -A INPUT   \
  \-s fec0:0:0:1::/64 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s fec0:0:0:1::/64 -d 0/0 -o eth0 -j ACCEPT
ip6tables -t filter -A OUTPUT  \
  \-s fec0:0:0:1::/64 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico site-local collegato all'interfaccia eth0.
ip6tables -t filter -A INPUT   \
  \-s 2002::/16 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s 2002::/16 -d 0/0 -i eth0 -j ACCEPT
ip6tables -t filter -A FORWARD \
  \-s 2002::/16 -d 0/0 -o eth0 -j ACCEPT
ip6tables -t filter -A OUTPUT  \
  \-s 2002::/16 -d 0/0 -o eth0 -j ACCEPT
Consente tutto il traffico per gli indirizzi 2002::/16 collegato all'interfaccia eth0.

369.7   Accesso alla rete esterna IPv4 da parte dei nodi della rete interna

Comando Descrizione
iptables  -t filter -A OUTPUT  -j ACCEPT
Consente il passaggio di tutti i pacchetti IPv4 che devono uscire (soprattutto quelli diretti verso la rete esterna). Ciò si rende necessario per poter poi fare riferimento ai pacchetti di connessioni stabilite o correlate.
iptables  -t filter -A INPUT   -p tcp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
iptables  -t filter -A FORWARD -p tcp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
iptables  -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
Consente tutto il traffico IPv4 riferito a connessioni TCP già iniziate in base alle regole preesistenti. L'istruzione relativa al controllo in uscita dovrebbe essere ridondante.
iptables  -t filter -A INPUT   -p udp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
iptables  -t filter -A FORWARD -p udp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
iptables  -t filter -A OUTPUT  -p udp \
  \-s 0/0 -m state --state ESTABLISHED,RELATED \
  \-j ACCEPT
Consente tutto il traffico IPv4 riferito a comunicazioni con il protocollo UDP, già iniziate in base alle regole preesistenti. L'istruzione relativa al controllo in uscita dovrebbe essere ridondante.
iptables  -t nat -A POSTROUTING -o ppp0 \
  \-j MASQUERADE
Definisce la trasformazione degli indirizzi IPv4 e delle porte (NAT) per il traffico uscente dall'interfaccia ppp0 (interfaccia con indirizzo dinamico).
iptables  -t nat -A POSTROUTING -o ppp0 \
  \-j SNAT --to-source 196.1.2.3
Definisce (in alternativa) la trasformazione degli indirizzi IPv4 e delle porte (NAT) per il traffico uscente dall'interfaccia ppp0 che ha l'indirizzo 196.1.2.3.

369.8   Accesso alla rete esterna IPv6 da parte dei nodi della rete interna

Comando Descrizione
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 53 -i tun6to4 -j ACCEPT
ip6tables -t filter -A INPUT   -p udp \
  \-s 0/0 -d 0/0 --sport 53 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 53 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p udp \
  \-s 0/0 -d 0/0 --sport 53 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 53 -o tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p udp \
  \-s 0/0 -d 0/0 --dport 53 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, per le interrogazioni DNS. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 80 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 80 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 80 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, con il protocollo HTTP. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 443 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 443 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 443 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, con il protocollo HTTPS. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 123 -i tun6to4 -j ACCEPT
ip6tables -t filter -A INPUT   -p udp \
  \-s 0/0 -d 0/0 --sport 123 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 123 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p udp \
  \-s 0/0 -d 0/0 --sport 123 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 123 -o tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p udp \
  \-s 0/0 -d 0/0 --dport 123 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, con il protocollo NTP. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 110 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 110 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 110 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, con il protocollo POP3. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.
ip6tables -t filter -A INPUT   -p tcp \
  \-s 0/0 -d 0/0 --sport 22 -i tun6to4 -j ACCEPT
ip6tables -t filter -A FORWARD -p tcp \
  \-s 0/0 -d 0/0 --sport 22 -i tun6to4 -j ACCEPT
ip6tables -t filter -A OUTPUT  -p tcp \
  \-s 0/0 -d 0/0 --dport 22 -o tun6to4 -j ACCEPT
Consente l'accesso verso la rete esterna, attraverso il tunnel IPv6 in IPv4, con il protocollo SSH. Queste regole sono completate da quelle riferite alla rete locale con indirizzi 2002::/16.

Appunti di informatica libera 2007.02 --- Copyright © 2000-2007 Daniele Giacomini -- <daniele (ad) swlibero·org>


Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome iptables.htm

[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [indice analitico]

Valid ISO-HTML!

CSS validator!