[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

iptables & sanity check del traffico

ciao a tutti !
sto rivedendo lo script iptables e le sue regole. la mia intenzione è
rinforzare il
"controllo qualità" dei pacchetti in entrata dall'interfaccia internet.
girando per internet si trovano varie regole e molti esempi presi da casi
personali
Esiste una risorsa "ufficiale" in internet dove verificare la correttezza di
questo tipo di regole e dove rimenere costantemente aggironati
sull'argomento ?
Di seguito riporto alcune delle le mie regole; per esempio, la riga 2
effettuerà
dei controlli di validità tramite il modulo "state", come faccio ad essere
certo di non
avere inserito successivamente altre regole che duplicano il controllo già
effettuato ?

grazie 1000
Alberto Spelta

#drop frammenti
1- iptables -A bad_packets -i $INTERNET -p ALL -f -j DROP

# drop pacchetti non validi
2- iptables -A bad_packets -i $INTERNET -p ALL -m state --state INVALID -j
DROP
3- iptables -A bad_packets -i $INTERNET -p tcp ! --syn -m state --state
NEW -j DROP
4- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL NONE -j DROP
5- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL ALL -j DROP
6- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL
FIN,URG,PSH -j DROP
7- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL
SYN,RST,ACK,FIN,URG -j DROP
8- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags SYN,RST
SYN,RST -j DROP
9- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags SYN,FIN
SYN,FIN -j DROP

# drop spoofing
10- iptables -A bad_tcp_packets -i $INTERNET -s 192.168.0.0/24 -j DROP
11- iptables -A bad_tcp_packets -i $INTERNET -s 172.16.0.0/12 -j DROP
12- iptables -A bad_tcp_packets -i $INTERNET -s 10.0.0.0/8 -j DROP
13- iptables -A bad_tcp_packets -i $INTERNET -s 127.0.0.0/8 -j DROP

# port scanner
14- iptables -A bad_tcp_packets -i $INTERNET -p tcp --tcp-flags
SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
15- iptables -A bad_tcp_packets -i $INTERNET -p tcp --tcp-flags
SYN,ACK,FIN,RST RST -j DROP

# syn-flood
16- iptables -A bad_tcp_packets -i $INTERNET -p tcp --syn -m limit --limit
1/s -j ACCEPT
17- iptables -A bad_tcp_packets -i $INTERNET -p tcp --syn -j DROP
Reply to: