[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Politiche di firewalling...reprised



On Wed, 22 Dec 2004 19:10:23 +0100
automatic_jack <automatic_jack@katamail.com> wrote:

> Ciao,
> 
> Vi ripropongo in maniera un po' differente una vecchia curiosità...
> 
> Ha senso impostare per iptables la policy DROP per la catena di INPUT
> (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
> quella OUTPUT, permettendo in quest' ultima che passi solo il traffico
> desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
> 
> La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi
> garantisce già una buona protezione in INPUT (supero brillantemente i
> vari test on line) e per il quale ho disabilitato la gestione da
> Internet
> 
> Vi sono soluzioni migliori?
> 
> 
> Grazie :)

L' idea è di far qualcosa di simile a quanto riportato di seguito...per
ora l' ho messo su e non ho riscontrato alcun problema nell' uso
normale, ma ogni suggerimento è davvero ben accetto :)

Mi scuso sin d' ora per i contenuti e l' impaginazione :(


#! /bin/sh

#Azzera i contatori dei pacchetti
iptables -Z 

#Svuota tutte le catene dalle loro regole
iptables -F 

#Cancella le catene definite dall' utente
iptables -X

#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#Catena di INPUT

#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix "Bloccato "

#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT

#Abilita le connessioni established e related
iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
ESTABLISHED,RELATED -j ACCEPT


#Catena di OUTPUT

#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix "Bloccato "

# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT

#Abilita il dns
iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53
-j ACCEPT

#Abilita ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
21,25,80,110,119,443 -j ACCEPT



Reply to: