Re: Regole del firewall

To: "- Mailing List - Debian-italian.org" <debian-italian@lists.debian.org>
Subject: Re: Regole del firewall
From: paolo <paolo.larcheri@gmail.com>
Date: Sat, 4 Jun 2005 16:52:04 +0200
Message-id: <[🔎] 2a69193805060407523e33d268@mail.gmail.com>
Reply-to: paolo <paolo.larcheri@gmail.com>
In-reply-to: <[🔎] 42A1B91C.6060508@despammed.com>
References: <[🔎] 42A0688F.5030401@despammed.com> <[🔎] 2a691938050603094961a01797@mail.gmail.com> <42A0A59C.8000704@despammed.com> <[🔎] 2a6919380506031200a552189@mail.gmail.com> <42A18DDD.4090201@despammed.com> <[🔎] 2a691938050604055224d0b478@mail.gmail.com> <[🔎] 42A1B91C.6060508@despammed.com>

> >OK, anche se a dir la verit� se � per una LAN casalinga io lascierei
> >entrare in input qualsiasi cosa dalle tue due LAN.
> >
> >
> Si, in effetti volevo fare quello...
> se sto iniziando a capire qualcosa il risultato dovrebbe essere qualcosa
> del genere no?:
> $IPT -P INPUT DROP -o $INT
> $IPT -P FORWARD DROP -o $INT
> $IPT -P OUTPUT ACCEPT -o $INT

Non vorrei dire cavolate ma in tutte e tre le regole "-o $INT"
non ha senso perchè tu stai dando la politica di default 
delle tre tabelle. Secondo me iptables te le ignora semplicimente.
Per esempio che senso ha la regola che dice "la policy della tabella
di input è DROP per i pacchetti che escono su eth0"??

Ultima cosa: visto che è una LAN casalinga (e quindi la sicurezza
è importante, ma non ci sono in ballo miolioni di euro come in ambito
aziendale) io terrei la
policy del FORWARD a ACCEPT perchè tanto dietro al firewall
hai degli indirizzi privati e uno da fuori non riesce a raggiungere
con dei pacchetti un tuo host interno salvo in due casi:
- è una connessione NATtata aperta da un tuo host verso uno fuori
- fai DNAT di una certa porta verso un tuo host interno (cosa che fai
  se veramente lo vuoi!)
Quindi puoi stare tranquillo anche se hai la policy del FORWARD 
come ACCEPT!

Io per una cosa semplice come la tua userei queste regole:

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

# 1) Accetto al più un icmp al secondo
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
# 2) In input accetto solo i pacchetti di connessioni stabilite o affini
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 3) Apro l'ssh agli host del mondo :)
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
# 4) Lascio completo accesso al firewall agli host delle due LAN
# Nota: senza la regola 2) questa non fa quanto detto sopra!
iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT

# NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Questo per cominciare. Nota che io mi riferisco alla ppp0 visto che ho
l'ADSL, chiaramente devi cambiare queste regole secondo le tue esigenze.
Ultima cosa: ti consiglio di mettere il server ssh su una porta alta (es. 47211)
che non si sa mai :)

   Ciao e buon divertimento

         Paolo

-- 
Paolo Larcheri
Linux User   #383461
http://counter.li.org

Reply to:

Follow-Ups:
- Re: Regole del firewall
  - From: -FrA- <jango@despammed.com>

References:
- Regole del firewall
  - From: -FrA- <jango@despammed.com>
- Re: Regole del firewall
  - From: paolo <paolo.larcheri@gmail.com>
- Re: Regole del firewall
  - From: paolo <paolo.larcheri@gmail.com>
- Re: Regole del firewall
  - From: paolo <paolo.larcheri@gmail.com>
- Re: Regole del firewall
  - From: -FrA- <jango@despammed.com>

Prev by Date: caricare nvram come modulo
Next by Date: Re: gprs + linux
Previous by thread: Re: Regole del firewall
Next by thread: Re: Regole del firewall
Index(es):
- Date
- Thread