Re: domanda su iptables

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: domanda su iptables
From: Leonardo Canducci <lcanducci@libero.it>
Date: Fri, 17 Jan 2003 11:16:58 +0100
Message-id: <[🔎] 20030117101658.GA1130@cervellone>
Mail-followup-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 3E27C585.8090600@ariadne.it>
References: <[🔎] 20030116150324.GA3284@cervellone> <[🔎] 20030116183531.GA1311@cervellone> <[🔎] 3E27C585.8090600@ariadne.it>

On Fri, Jan 17, 2003 at 09:57:41AM +0100, Vincenzo Agosto wrote:
> > iptables -P OUTPUT ACCEPT
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Non è una buona politica impostare ad ACCEPT la policy di OUTPUT. Come
> punto di partenza per un firewall packet filtering è ok, ma per
> affinarlo metti tutto a DROP e apri solo ciò che ti interessa (questo
> vale in generale per tutte le catene).

il punto è che non so definire con precisione cosa mi interessa in out o
cosa è bene negare in out. magari posso chiudere determinate porte ma è
anche vero che ho un pc casalingo con pochi servizi che girano e
relativamente sicuri, quindi...

> <<iptables -A INPUT -i lo -j ACCEPT>>
> <<iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT>>
> <<
> <<la prima accetta connessioni dal loopback e la seconda accetta nuove>>
> <<connessioni da interfacce diverse da eth0 (ho l'adsl col modem>>
> <<ethernet). non fanno entrambe la stessa cosa?>>
> non è proprio la stessa cosa perchè la prima ti accetta tutto in lo, la
> seconda ti accetta i pacchetti il cui stato è NEW nelle interfacce !
> eth0. Ora, d'accordo che nel tuo caso !eth0 == lo ma con questa policy
> "droppi" in "lo" i pacchetti il cui stato è related o established.

allora non ho capito niente di iptables! ma se accetto tutto in input da
lo non accetto anche i pacchetti relate e established? voglio dire: una
volta che un pacchetto soddisfa la prima delle 2 regole non è già a
posto? deve soddisfare anche la seconda?

> 
> Una cosa che sicuramente aggiungerei nel tuo script è:
> # Anti-Spoofing
> echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
> for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done

ma se nego tutti i pacchetti in ingresso che non sono established e
related non sono a posto anche con lo spoofing e il syn flood? o questi
pacchetti son udp o icmp e quindi non ha senso parlare di related
(anche se l'autore del packet filtering howto dice di si in realtà).

> # Enable syn-cookies (syn-flooding attacks)
> 	echo "1" >/proc/sys/net/ipv4/tcp_syncookies
> # Disable ICMP echo-request to broadcast addresses (Smurf amplifier)
> 	echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> 
> Spero di esserti stato d'aiuto.
> Ciao
> Vincenzo

grazie, ciao

-- 
Leonardo Canducci - lcanducci@libero.it
GPG Key ID: 429683DA

Reply to:

Follow-Ups:
- Re: domanda su iptables
  - From: Vincenzo Agosto <agosto@ariadne.it>

References:
- domanda su iptables
  - From: Leonardo Canducci <lcanducci@libero.it>
- Re: domanda su iptables
  - From: Leonardo Canducci <lcanducci@libero.it>
- Re: domanda su iptables
  - From: Vincenzo Agosto <agosto@ariadne.it>

Prev by Date: Re: copiare file su una partizione vfat
Next by Date: scusate l'OT
Previous by thread: Re: domanda su iptables
Next by thread: Re: domanda su iptables
Index(es):
- Date
- Thread