Re: [OT] Primo script Iptables: suggerimenti,commenti,correzioni
On Wed, Apr 21, 2004 at 10:57:33AM +0200, Legolas wrote:
> > B> echo "1" > /proc/sys/net/ipv4/tcp_ecn
> > oh per bacco! Dicci perchè lo setti ora.
> perche', cosa c'e' di sbagliato? solo perche' sono settaggi che andrebbero
> fatti all'inizio, prima ancora di impostare le regole di iptables? oppure
> c'e' qualche altro motivo?
http://ipsysctl-tutorial.frozentux.net/chunkyhtml/tcpvariables.html#AEN352
>
> > B> se li hai compilati nel kernel
> > B> echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
> > ah ah ah ... gli ICMP *servono*!
http://ipsysctl-tutorial.frozentux.net/chunkyhtml/icmpvariables.html#ICMPECHOIGNOREALL
se leggo bene ignora gli echo request. potrebbe essere una buona cosa,
se non vuoi essere pingato, ma se usi il conntrack non ne hai bisogno.
un echo request è considerato NEW dal conntrack e se accetti solo i
pacchetti RELATED,ESTABLISHED (come nel 99% dei casi) sei già a posto
così. ad ogni modo io filtrerei con delle regole specifiche piuttosto
che con un parametro del kernel che magari dimentichi di aver settato.
> ovvero? da quello che ho letto sembra che non tutti gli icmp servano, ma
> solo alcuni... potresti essere un po' + preciso?
> io per esempio faccio passare i pacchetti icmp di tipo 0 (echo-reply), 3
> (destination-unreachable), 11 (time-exceeded) e 30 (traceroute)...
> sbaglio qualcosa? potrei fare meglio?
icmp 30 non esiste. per i traceroute servono i time-exceeded. in realtà
non serve nessuna regola per pingare fuori e usare traceroute. i
pacchetti icmp sono comunque soggetti al connection tracking e se hai la
regola:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sei già a posto così. provare per credere. quasi tutti i tutorial dicono
che occorre accettare i time-exceeded per traceroute. non è vero. sono
considerati RELATED e accettati con la regola sopra.
ciao
--
Leonardo Canducci
GPG Key ID: 429683DA
Reply to: