[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [despammed] Re: [OT] Primo script Iptables: suggerimenti,commenti,correzioni

On 190404, 17:04, Leonardo Canducci wrote:
> On Mon, Apr 19, 2004 at 09:57:04AM +0200, gianni wrote:
> > #!/bin/sh
> 
> come prima cosa bisogna fare il flush delle tabelle, altrimenti quando
> rilanci lo script te le trovi prima doppie, poi triple ecc.

vero, l'avevo letto ma mi son scordato di farlo, provvedo...

> > #telnet 192.168.1.2->192.168.1.1
> > iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 23 -j ACCEPT
> > iptables -A OUTPUT -d 192.168.1.0/24 -p tcp --sport 23 -j ACCEPT
> 
> intanto userei ssh invece di telnet. con win putty e winscp. 

si infatti appena posso do un'occhiata a ssh e cambio, e' che ho poco
tempo per studiare e telnet gia' lo conoscevo

> indicherei l'IP esatto e, volendo essere paranoici, anche il MAC della
> scheda di rete dell'unico pc che deve connettersi

per la verita' ci connettiamo in 2 (l'altro usa win e si connette solo per
lanciare $pon ) non sapevo se si potevano mettere 2 IP e cosi' ho messo
tutto eth0

> > #risoluzione nomi: richieste client->server
> > iptables -A OUTPUT -o ppp0 -p udp -d 194.185.97.134 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p udp -d 194.185.97.134 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 
> > 
> > #risoluzione nomi: risposte server->client
> > iptables -A INPUT -i ppp0 -p udp -s 194.185.97.134 --sport 53 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -i ppp0 -p udp -s 194.185.97.134 --sport 53 -m state --state ESTABLISHED -j ACCEPT
> > 
> usi un solo dns? 

si vodafone da solo un DNS e non ne ho cercato uno free...

>mi sembra di capire che il tuo approccio è bloccare
> tutto da LAN verso WAN... strano se a usare il pc in LAN sei solo tu.

Non ho capito che vuoi dire...per wan intendi internet? scusa la
banalita' delle domande...

Comuqnue ho ragionato cosi':
-ho chiuso tutto e ho abilitato via via i servizi che mi interessavano
(dns,ping,ecc)


> > #icmp in entrata
> > iptables -A INPUT -i ppp0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A FORWARD -i ppp0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
> > 
> > #icmp in uscita
> > iptables -A OUTPUT -o ppp0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> 
> lo state è superfluo se li indichi tutti.

hai ragione, ma avevo premesso che la ridondanza era dovuta al fatto di
voler scrivere tutto cio' che avevo imparato :)

> > #posta in uscita (194.185.97.20 e' l'SMTP del mio provider)
> > iptables -A FORWARD -i ppp0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p tcp -d 194.185.97.20 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 
> > #posta in ingresso
> > iptables -A FORWARD -i ppp0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 
> > #news
> > iptables -A FORWARD -i ppp0 -p tcp --sport 119 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p tcp --dport 119 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 
> > #http in uscita
> > iptables -A FORWARD -i ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
> > 
> > #https in uscita
> > iptables -A FORWARD -i ppp0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -o ppp0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

 
> comunque l'approccio mi sembra troppo restrittivo. e mancano alcune
> regolette per la sicurezza.

si lo so, quelle relative a certi attacchi ecc. Francamente le ho
tralasciate perche' prima volevo capire in cosa consistevano questi
attacchi ecc...non sono proprio le cose che assimili con una lettura
veloce, almeno per quanto mi riguarda, appena mi documentero' meglio
aggiungero' le regole relative


> consiglio vivamente, oltre al packet filtering howto, l'ottimo tutorial
>  http://iptables-tutorial.frozentux.net/chunkyhtml/index.html e per
>  generare uno script decente da modificare
>  http://easyfwgen.morizot.net/gen/

grazie :), ciao


-- 
| Ciao Gianni           Linux Registered User #297089
| Powered by *Debian GNU/Linux 3.0* on Celeron 667MHz
Reply to: