Re: [OT] Politiche di firewalling...reprised
On Wed, 22 Dec 2004 19:10:23 +0100
automatic_jack <automatic_jack@katamail.com> wrote:
> Ciao,
>
> Vi ripropongo in maniera un po' differente una vecchia curiosità...
>
> Ha senso impostare per iptables la policy DROP per la catena di INPUT
> (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
> quella OUTPUT, permettendo in quest' ultima che passi solo il traffico
> desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
>
> La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi
> garantisce già una buona protezione in INPUT (supero brillantemente i
> vari test on line) e per il quale ho disabilitato la gestione da
> Internet
>
> Vi sono soluzioni migliori?
>
>
> Grazie :)
L' idea è di far qualcosa di simile a quanto riportato di seguito...per
ora l' ho messo su e non ho riscontrato alcun problema nell' uso
normale, ma ogni suggerimento è davvero ben accetto :)
Mi scuso sin d' ora per i contenuti e l' impaginazione :(
#! /bin/sh
#Azzera i contatori dei pacchetti
iptables -Z
#Svuota tutte le catene dalle loro regole
iptables -F
#Cancella le catene definite dall' utente
iptables -X
#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Catena di INPUT
#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix "Bloccato "
#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
#Abilita le connessioni established e related
iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
#Catena di OUTPUT
#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
#Abilita il dns
iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53
-j ACCEPT
#Abilita ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
21,25,80,110,119,443 -j ACCEPT
Reply to: