Re: Chiudere tutto sul GW

To: debian-italian@lists.debian.org
Subject: Re: Chiudere tutto sul GW
From: debian@raycone.net
Date: Thu, 02 Oct 2003 09:25:54 +0200
Message-id: <[🔎] 3F7BEF22.7727.3AD589E@localhost>
In-reply-to: <[🔎] 200310011844.28639.mario@sky73.ath.cx>
References: <[🔎] 20031001162231.GA27180@Delorian>

On 1 Oct 2003 at 18:44, mario wrote:

> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 22 -d ! 192.168.2.0/24 -j SNAT 
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 110 -d ! 192.168.2.0/24 -j SNAT 
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 119 -d ! 192.168.2.0/24 -j SNAT 
> - --to-source 10.0.0.1
> iptables -t nat -A POSTROUTING \
> - -o $INTERNET -s 192.168.2.0/24 -p tcp --dport 123 -d ! 192.168.2.0/24 -j SNAT 
> - --to-source 10.0.0.1

Salve a tutti,
passare per squid richiede che sia impostato il proxy nei client (cosa facilmente 
bypassabile se non c'e' di mezzo un gateway che a sua volta passa per il proxy o 
similare).

la cosa, a mio avviso, piu' funzionale e' di utilizzare il firewall in uscita per filtrare il file 
sharing.

le regole per bloccare le porte ed indirizzi IP dei piu' comuni programmi di file sharing 
possono essere con iptables (non consiglio di aggiungere gli IP interni dei client da 
bloccare perche' questi sono facilmente modificabili, usare invece i MAC delle schede 
che necessitano di maggiore perizia per essere cambiati):

# BLOCCHIAMO WINMX, NAPSTER E GNUTELLA
#WINMX
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24 -j DROP
#NAPSTER
iptables -A FORWARD -d 64.124.41.0/24 -j DROP
#IMESH
iptables -A FORWARD -d 216.35.208.0/24 -j DROP
#BEARSHARE, TOADNODE
iptables -A FORWARD -p tcp --dport 6346 -j DROP
#NAPIGATOR
iptables -A FORWARD -d 209.25.178.0/24 -j DROP
#MORPHEUS, KAZA
iptables -A FORWARD -p tcp --dport 1214 -j DROP
#AUDIOGALAXY
iptables -A FORWARD -d 64.245.58.0/23 -j DROP
# ALTRO
iptables -A FORWARD -p tcp --dport 4662 -j DROP
iptables -A FORWARD -p tcp --dport 4661 -j DROP
iptables -A FORWARD -p tcp --dport 4672 -j DROP
iptables -A FORWARD -p tcp --dport 8888 -j DROP
iptables -A FORWARD -p tcp --dport 6699 -j DROP

Molto spesso comunque non si conoscono tutti gli IP e porte usate da questi 
programmi, sarebbe quindi opportuno far girare un iptraf sul firewall e monitorare le 
porte ed IP in uscita per "affilare" le regole del firewall.

Ciao


*****************************************
Alessandro "Formichiere" Bagaglia
Econet S.r.l.
Debian User
*****************************************

Reply to:

Follow-Ups:
- Re: Chiudere tutto sul GW
  - From: mario <mario@sky73.ath.cx>

References:
- Chiudere tutto sul GW
  - From: _Martin_ <list@manuelmartini.it>
- Re: Chiudere tutto sul GW
  - From: mario <mario@sky73.ath.cx>

Prev by Date: Re: mplayer e gtk
Next by Date: Re: cups: impossibile cancellare job da interfaccia web
Previous by thread: Re: [SID] bookmarks di mozilla
Next by thread: Re: Chiudere tutto sul GW
Index(es):
- Date
- Thread