Re: consiglio per un firewall
Il ven, 2003-12-05 alle 23:51, francesco ha scritto:
> Ho scritto alcune regole per un firewall con iptables.
[...]
> 1) quali pacchetti secondo voi dovrei loggare?
a) tutti
b) tutti quelli che non vengono accettati
c) tutti quelli che ritieni "pericolosi"
Dipende dall'importanza che dai alla cosa, al tempo che ci vuoi/puoi
perdere, alla capacita' computazionale dei pc a disposizione, ecc.
La soluzione piu' completa e' la a), con un'analisi differita sui log.
b) e' un buon compromesso. c) la scarterei (soprattutto perche' e'
troppo soggetta ad errori di valutazione).
> 2) come gli dico di loggarli (pensavo creando una catena LOGDROP con 2
> regole (-j LOG e -j DROP)?
Dipende. Differenzierei a grandi linee i pacchetti che vanno "droppati"
e quelli per cui e' piu' opportuno un reject.
Per il target di log, vedi oltre.
> 3) come faccio a non stampare il log risultante sulla console?
a) file:///usr/src/linux/Documentation/sysctl/kernel.txt#printk
b) -j ULOG
Su woody ulogd non funziona con kernel > 2.4.18 (o .19, non ricordo
bene). Se e' il caso, ricompila il pacchetto da sarge/sid.
> 4) come faccio a stamparlo invece in un file diverso da messages (per
> esempio in un eventuale /var/log/firewall.log)?
a) -j ULOG
b) usando un syslogd che lo permetta (magari tramite pattern matching).
Per la soluzione b) metalog sarebbe carino, peccato che lo sviluppo
sembri un po' fermo (e in piu' nei giorni scorsi e' stato "orphaned").
Peccato :(.
Ciao,
Gian Piero.
Reply to: