Re: firewall domestico
On Mon, Apr 15, 2002 at 07:14:30PM +0200, Leonardo Canducci wrote:
> iptables -A INPUT -p icmp --icmp-type echo-reply \
> -s $ANYWHERE -i $WAN_IFACE -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type destination-unreachable \
> -s $ANYWHERE -i $WAN_IFACE -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type time-exceeded \
> -s $ANYWHERE -i $WAN_IFACE -j ACCEPT
curioso, accetta questi ICMP (di tipi certamente importanti)
*sempre*, anche da IP che non si sono mai contattati.
Io toglierei queste regole, perche' per i casi in cui e` importante
accettare questi tipi di ICMP ci penserebbe gia` la regola
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Nonostante ICMP e UDP siano protocolli stateless, e quindi ESTABLISHED
non puo` avere il senso stringente (se l'algoritmo per i numeri di
sequenza tcp che il sistema operativo usa e` decente e non Notoriamente
Tarlato) che ha per il tcp, almeno per questi protocolli si puo` vedere
se (con un timeout ragionevolmente basso) abbiamo spedito in precedenza
qualche paccheto a quell'IP prima di accettare una risposta ICMP o UDP
da esso
> iptables -A INPUT -j LOG -m limit --limit 30/minute --log-prefix
questa invece e` una giusta regola per limitare quanto si scive nei log
PS: si, iptables -L -n (che di default usa -t filter ma esistono
anche -t nat e -t mangle) fa vedere le regole nell'ordine in cui
compaiono, ma non lo trovo il massimo della chiarezza il suo output
--
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: