Re: Siti irraggiungibili (lunga)

To: Debian Italian <debian-italian@lists.debian.org>
Subject: Re: Siti irraggiungibili (lunga)
From: Davide Alberani <alberanid@libero.it>
Date: Thu, 27 Jun 2002 17:01:06 +0200
Message-id: <[🔎] 20020627150106.GA797@libero.it>
Mail-followup-to: Davide Alberani <alberanid@libero.it>, Debian Italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 20020627140635.594b768f.insa_hc@katamail.com>
References: <[🔎] 20020626140122.36d331c2.insa_hc@katamail.com> <[🔎] 20020627070625.GA2499@libero.it> <[🔎] 20020627140635.594b768f.insa_hc@katamail.com>

On Jun 27, InSa <insa_hc@katamail.com> wrote:

> In un giorno di pioggia, verso il Thu, 27 Jun 2002 09:06:25 +0200,
> Davide Alberani <alberanid@libero.it> uscì senza ombrella e
> assaporando le gocce cadere sulla sua faccia disse:

...disse: porca pupattola, piove acido solforico!

> si, ho il kernel 2.4.17 , ma non so cosa sia ECN.

Explicit Congestion Notification (rfc 2481).
Se tra te e la destinazione ci sono router/firewall vecchi o
mal configurati, la connessione non si instaura.

> > Che carnaio :-)
> 
> cioè?!? si accettano sempre suggerimenti... :)))

Beh, tante righe, tanti problemi. :-)
I firewall (come tutto) andrebbero resi semplici, per quanto possibile.

Nello specifico: belle regole e sicuramente funziona bene, ma...

note sparse:
* tante regole complicate: dubito reggerebbe carichi significativi.
* la parte di syn-flood e` (moderatamente) inutile per una connessione
  dial-up (posto che tu abbia una connessione dial-up, ovvio ;-)
* discriminare i pacchetti in base (anche) alla sorgente dalla quale
  _sostengono_ di provenire e` inutile: stanno mentendo!
* aprire singoli servizi non mi pare utile, se poi li limiti ad un
  utilizzo "dall'interno" (regole con state ESTABLISHED).
  Questo non vale se vuoi offrire un servizio all'esterno, ovvio, ma
  non e` questo il caso di una macchina client.

Un decente schema potrebbe essere il seguente:
* policy a DROP per tutte le catene.
* eventualmente invia un icmp-port-unreachable per il servizio auth (113).
* secca/logga i marziani (dovrebbe gia` farlo il kernel, pero`).
* se vuoi logga i tentativi di stabilire nuove connessioni (INVALID,NEW).
* accetta le connessioni dirette sulle porte alte (1024:65535) il cui
  stato sia RELATED,ESTABLISHED, tanto per TCP che per UDP.
* se vuoi sega un po` di icmp noiosi (occhio pero` che ICMP e` _bene_).
* accetta gli altri tipi ICMP.
* spargere in giro LOG a piacimento.

Enjoy,
-- 
(=---= alberanid@libero.it =------------= PGP KeyID: 0x465BFD47 =--=)
 )                        Davide Alberani                          (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)

-- 
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Siti irraggiungibili (lunga)
  - From: InSa <insa_hc@katamail.com>

References:
- Siti irraggiungibili (lunga)
  - From: InSa <insa_hc@katamail.com>
- Re: Siti irraggiungibili (lunga)
  - From: Davide Alberani <alberanid@libero.it>
- Re: Siti irraggiungibili (lunga)
  - From: InSa <insa_hc@katamail.com>

Prev by Date: non si capisce
Next by Date: Re: come cambia il device con ide-scsi
Previous by thread: Re: Siti irraggiungibili (lunga)
Next by thread: Re: Siti irraggiungibili (lunga)
Index(es):
- Date
- Thread