Re: domanda su iptables

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: domanda su iptables
From: Vincenzo Agosto <agosto@ariadne.it>
Date: Fri, 17 Jan 2003 13:03:14 +0100
Message-id: <[🔎] 3E27F102.7000709@ariadne.it>
References: <[🔎] 20030116150324.GA3284@cervellone> <[🔎] 20030116183531.GA1311@cervellone> <[🔎] 3E27C585.8090600@ariadne.it> <[🔎] 20030117101658.GA1130@cervellone>


Leonardo Canducci wrote:
> On Fri, Jan 17, 2003 at 09:57:41AM +0100, Vincenzo Agosto wrote:
> 
>>>iptables -P OUTPUT ACCEPT
>>
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>Non ? una buona politica impostare ad ACCEPT la policy di OUTPUT. Come
>>punto di partenza per un firewall packet filtering ? ok, ma per
>>affinarlo metti tutto a DROP e apri solo ci? che ti interessa (questo
>>vale in generale per tutte le catene).
> 
> 
> il punto ? che non so definire con precisione cosa mi interessa in out o
> cosa ? bene negare in out. magari posso chiudere determinate porte ma ?
> anche vero che ho un pc casalingo con pochi servizi che girano e
> relativamente sicuri, quindi...
> 
> 
>><<iptables -A INPUT -i lo -j ACCEPT>>
>><<iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT>>
>><<
>><<la prima accetta connessioni dal loopback e la seconda accetta nuove>>
>><<connessioni da interfacce diverse da eth0 (ho l'adsl col modem>>
>><<ethernet). non fanno entrambe la stessa cosa?>>
>>non ? proprio la stessa cosa perch? la prima ti accetta tutto in lo, la
>>seconda ti accetta i pacchetti il cui stato ? NEW nelle interfacce !
>>eth0. Ora, d'accordo che nel tuo caso !eth0 == lo ma con questa policy
>>"droppi" in "lo" i pacchetti il cui stato ? related o established.
> 
> 
> allora non ho capito niente di iptables! ma se accetto tutto in input da
> lo non accetto anche i pacchetti relate e established? voglio dire: una
> volta che un pacchetto soddisfa la prima delle 2 regole non ? gi? a
> posto? deve soddisfare anche la seconda?
Si ok forse hai ragione, è ridondante, anche se però non ne sono ancora
convintissimo, magari ci penso su un po'.

> 
> 
>>Una cosa che sicuramente aggiungerei nel tuo script ?:
>># Anti-Spoofing
>>echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
>>for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
> 
> 
> ma se nego tutti i pacchetti in ingresso che non sono established e
> related non sono a posto anche con lo spoofing e il syn flood? o questi
> pacchetti son udp o icmp e quindi non ha senso parlare di related
> (anche se l'autore del packet filtering howto dice di si in realt?).
Perche' rischiare? :) anche se e' "in piu'" aggiungerlo male non fa...
Per quanto riguarda i "related", per quello che ne so io (magari
sbaglio) il RELATED non fa riferimento necessariamente all'ack di una
connessione tcp. Ad esempio un errore ICMP è un pacchetto RELATED, come
lo è anche un "FTP data".
Ciao
V.

>

Reply to:

References:
- domanda su iptables
  - From: Leonardo Canducci <lcanducci@libero.it>
- Re: domanda su iptables
  - From: Leonardo Canducci <lcanducci@libero.it>
- Re: domanda su iptables
  - From: Vincenzo Agosto <agosto@ariadne.it>
- Re: domanda su iptables
  - From: Leonardo Canducci <lcanducci@libero.it>

Prev by Date: Re: compaq evo e scheda ethernet
Next by Date: Re: modules.conf
Previous by thread: Re: domanda su iptables
Next by thread: problemi con il monitor
Index(es):
- Date
- Thread