Ubuntu 9.04, plaintes contre Firestarter même derrière le routeur NAT

Je suis derrière un routeur. Dans la configuration du routeur, j'ai bloqué:

• tous les UDP (entrants et sortants)
• ICMP entrant

Les iptables locaux sont configurés avec l’assistant Firestarter:

• bloquer toutes les connexions entrantes
• autoriser toutes les connexions sortantes
• filtre ICMP sauf ping
• bloquer la diffusion depuis un réseau externe

À présent, Firestarter continue de se plaindre du blocage des connexions TCP et ICMP sur mon IP interne (192.168.0. *), Sur différents ports. Il n'y a pas de plaintes UDP, mais uniquement parce que le routeur les bloque toutes. Autrefois, avec UDP-s bloqué entrant (mais pas sortant), je recevais aussi des tonnes de connexions UDP bloquées (en particulier avec le lancement de Skype).

Je ne comprends pas comment il est possible que Firestarter se plaint de connexions TCP bloquées. Si j'ai bien compris, derrière le routeur, je ne suis pas joignable du monde extérieur (à cause de la traduction NAT), et le routeur ne transmet que les paquets entrants correspondant aux paquets sortants. Maintenant, iptables devrait fonctionner de la même manière: il devrait accepter les paquets de réponse entrants correspondant aux anciens paquets sortants. Donc, si le paquet TCP parvient à aller de mon ordinateur au serveur extérieur, alors la réponse ne devrait jamais être bloquée.

De plus, je ne comprends pas comment les paquets ICMP peuvent transiter par le routeur et planter sur mon iptables - ils devraient tous être bloqués dans le routeur (notez que tous les ICMP qui arrivent sur mon iptables sont sur le port 80, peut-être est-ce un indice)

Quelqu'un pourrait-il m'indiquer la bonne direction pour résoudre ces problèmes (le cas échéant, je suis peut-être mal informé).

ICMP est nécessaire pour que les opérations IP correctes ne les bloquent pas, bien que vous puissiez bloquer les demandes d'écho ICMP. Il n'y a pas de port ICMP 80, mais vous obtiendrez probablement des messages inaccessibles pour différents sites Web sur le port 80. Les messages ICMP ne planteront pas votre iptables.

Ntp devrait être en cours d’exécution, ce qui nécessitera l’ouverture du port 123 sur UDP. DNS sur le port 53 doit également être ouvert sur UDP et TCP.

Si vous utilisez Skype, vous devez autoriser les protocoles UDP et TCP sortants sur les ports éphémères (32768 à 61000) sur Ubuntu, ainsi que sur quelques autres. Vous devrez également autoriser les entrées UPD et TCP sur le port utilisé par Skype. Voir mon post sur le pare-feu Skype .

Vous devez vous attendre à un peu de trafic sur divers ports en provenance d'hôtes situés à l'intérieur de votre pare-feu. Vous recevrez également des paquets d'Internet si vous êtes sur l'adresse IP désignée comme zone démilitarisée sur votre routeur / pare-feu. Le pare-feu du routeur doit également transférer les paquets sur les ports associés pour des protocoles tels que FTP.