INPUT vs OUTPUT vs FORWARD

[OSmike]

Ciao a tutti,

Mi sono reso conto che non ho ancora le idee perfettamente chiare su cosa fanno effettivamente le chain Input, Output e Forward di un firewall (non necessariamente Mikrotik) ai pacchetti, in riferimento alle comunicazioni verso internet di una macchina della LAN. Soprattutto la differenza effettiva tra Input e Forward.
Ho letto e visto dei video a riguardo, ma rimangono i dubbi.

In particolare, ad esempio, se un pacchetto proviene da internet ed è destinato a una macchina locale come il mio pc e non al router viene considerato forward, giusto? E perché non pure Input visto che un collegamento dall'esterno conosce solo l'Ip pubblico di destinazione e non l'IP interno alla LAN del mio pc e nemmeno la sua interfaccia? È il NAT del router che poi smista il pacchetto alla rete interna, quindi potrebbe essere considerato prima INPUT.
Potete aiutarmi a chiarire le idee? Grazie

[figheras]

Senza entrare nei dettagli (visto che la rete e piena di manuali)
- Input: pacchetto in ingresso che è destinato al router stesso
- Output: pacchetto che parte dal router
- Forward: pacchetti che attraversano il router destinati agli host

E perché non pure Input visto che un collegamento dall'esterno conosce solo l'Ip pubblico di destinazione e non l'IP interno alla LAN del mio pc e nemmeno la sua interfaccia?

Perchè non è un pacchetto destinato al router. Quando digiti google.it stai aprendo una sessione diretta con quel server, quindi se sei dietro nat il router penserà a fare questa traduzione (facendo credere che quel ip è assegnato direttamente alla tua macchina) ed il pacchetto di ritorno è sempre destinato al client che ne ha fatto richiesta....

[OSmike]

Senza entrare nei dettagli (visto che la rete e piena di manuali)
- Input: pacchetto in ingresso che è destinato al router stesso

Con "al router stesso" intendi indirizzato direttamente proprio al suo IP?

Perchè non è un pacchetto destinato al router. Quando digiti google.it stai aprendo una sessione diretta con quel server, quindi se sei dietro nat il router penserà a fare questa traduzione (facendo credere che quel ip è assegnato direttamente alla tua macchina) ed il pacchetto di ritorno è sempre destinato al client che ne ha fatto richiesta....

Si ci stavo già prima riflettendo sopra. Mi sa che questo è il passaggio che mi sfuggiva.

Se ho capito bene, il forward di un pacchetto esterno avviene "automaticamente" verso la macchina interna alla rete in quanto esiste già una regola di forward tipo questa:

Codice: Seleziona tutto

add action=accept chain=forward comment="defconf: accept established,related" connection
    established,related

che lo lascia passare se la richiesta è partita dalla lan e che quindi si riferisce a una connessione stabilita e voluta dalla macchina interna alla LAN. Tutte le altre vengono "droppate" se non esista una regola che indirizzi e permetta il passaggio del pacchetto proveniente da una richiesta esterna diciamo. Forse l'ho espresso in maniera un pochino disordinata ma spero di averci preso e che tu confermi.
Grazie

[figheras]

Con "al router stesso" intendi indirizzato direttamente proprio al suo IP?

Esatto

Se ho capito bene, il forward di un pacchetto esterno avviene "automaticamente" verso la macchina interna alla rete in quanto esiste già una regola di forward tipo questa:

CODICE: SELEZIONA TUTTO
add action=accept chain=forward comment="defconf: accept established,related" connection
    established,related


che lo lascia passare se la richiesta è partita dalla lan e che quindi si riferisce a una connessione stabilita e voluta dalla macchina interna alla LAN. Tutte le altre vengono "droppate" se non esista una regola che indirizzi e permetta il passaggio del pacchetto proveniente da una richiesta esterna diciamo. Forse l'ho espresso in maniera un pochino disordinata ma spero di averci preso e che tu confermi.
Grazie

Non proprio.....ad ogni modo ogni regola di accept è seguita da una di drop.....

[OSmike]

Non proprio.....ad ogni modo ogni regola di accept è seguita da una di drop.....

Scusami, non ho capito qual è la parte del mio intervento che consideri inesatta. Per me è importante approfondire questo aspetto.
Grazie ancora

[figheras]

Tutta la seconda parte è inesatta, quella regola è "accessoria/opzionale" per il funzionamento della connessione...
Ti conviene approfondire la questione ne è pieno il web. Se hai domande si discute successivamente.

[OSmike]

Tutta la seconda parte è inesatta, quella regola è "accessoria/opzionale" per il funzionamento della connessione...
Ti conviene approfondire la questione ne è pieno il web. Se hai domande si discute successivamente.

Beh ho cercato, ma dicono quasi tutti la stessa cosa: cosa si intende cioè con chain INPUT, Forward e Output.
Se conosci un articolo più specifico che possa aiutarmi a comprendere meglio il funzionamento ti sarei grato se potessi indicarmelo.
Grazie

[abbio90]

le regole di accept o di drop funzionano dalla logica con cui vengono posizionate..

se fai una accept con src address 10.10.10.3 e dst address 192.168.15.0/24
e a seguire una drop con src address 10.10.10.0/24 dst address 192.168.15.0/24

viene eseguita prima l'accept se posizionata prima...

e in questo caso solo 10.10.10.3 puo raggiungere la subnet 192.168.15.0/24
nonostante nella regola di drop viene inserita tutta la 10.10.10.xx