Re: domanda su iptables
ripropongo il mio dubbio perchè forse mi sono spiegato male.
a casa ho un PC con adsl e modem ethernet.ho 3 sole interfaccie: lo,
ppp0 e eth0. la scheda ethernet serve solo per il modem adsl. pensavo di
usare questo script (da mettere in /ppp/ip-up.d/) per fare packet
filtering (niente NAT o port forwarding):
#!/bin/sh
modprobe ip_conntrack_ftp #carica i moduli
iptables -F #flush delle chains
iptables -P FORWARD DROP #default policies
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT # accetta pacchetti da lo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# accetta pacchetti da
# connessioni estab. e related
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ # accetta traffico che non
# proviene da eth0
iptables -A INPUT -j LOG -m limit --limit 30/minute --log-prefix
"Dropping: " # logga il resto
mi chiedevo se non era superflua la regola che accetta traffico che non
proviene da eth0. infatti le interfaccie restanti sono lo e ppp0; ma per
la prima c'era già una regola e ppp0 dovrebbe 'utilizzare' eth0, anche
se non mi è ben chiaro come funzioni pppoe.
volendo considerare anche il syn flood questo dovrebbe essere bloccato,
visto che si tratta di connessioni NEW.
che altro posso aggiungere?
ciao
--
Leonardo Canducci - lcanducci@libero.it
GPG Key ID: 429683DA
Reply to: