Re: [OT] Politiche di firewalling...reprised

To: Debian Mail List <debian-italian@lists.debian.org>
Subject: Re: [OT] Politiche di firewalling...reprised
From: automatic_jack <automatic_jack@katamail.com>
Date: Thu, 23 Dec 2004 14:07:14 +0100
Message-id: <[🔎] 20041223140714.3aa0fd64@debian>
In-reply-to: <3eo5Q-4rv-31@gated-at.bofh.it>
References: <3eo5Q-4rv-33@gated-at.bofh.it> <3eo5Q-4rv-31@gated-at.bofh.it>

On Thu, 23 Dec 2004 00:30:18 +0100
automatic_jack <automatic_jack@katamail.com> wrote:

> On Wed, 22 Dec 2004 19:10:23 +0100
> automatic_jack <automatic_jack@katamail.com> wrote:
> 
> > Ciao,
> > 
> > Vi ripropongo in maniera un po' differente una vecchia curiosità...
> > 
> > Ha senso impostare per iptables la policy DROP per la catena di
INPUT
> > (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
> > quella OUTPUT, permettendo in quest' ultima che passi solo il
traffico
> > desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
> > 
> > La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che
mi
> > garantisce già una buona protezione in INPUT (supero brillantemente
i
> > vari test on line) e per il quale ho disabilitato la gestione da
> > Internet
> > 
> > Vi sono soluzioni migliori?
> > 
> > 
> > Grazie :)
> 
> L' idea è di far qualcosa di simile a quanto riportato di
seguito...per
> ora l' ho messo su e non ho riscontrato alcun problema nell' uso
> normale, ma ogni suggerimento è davvero ben accetto :)
> 
> Mi scuso sin d' ora per i contenuti e l' impaginazione :(
> 
> 
> #! /bin/sh
> 
> #Azzera i contatori dei pacchetti
> iptables -Z 
> 
> #Svuota tutte le catene dalle loro regole
> iptables -F 
> 
> #Cancella le catene definite dall' utente
> iptables -X
> 
> #Impostazione delle policy
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> 
> 
> #Catena di INPUT
> 
> #Logga i pacchetti droppati
> iptables -A INPUT -j LOG --log-prefix "Bloccato "
> 
> #Abilita l' interfaccia di loopback in input
> iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
> 
> #Abilita le connessioni established e related
> iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> 
> 
> #Catena di OUTPUT
> 
> #Logga i pacchetti droppati
> iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
> 
> # Abilita l' interfaccia di loopback in output
> iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
> 
> #Abilita il dns
> iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport
53
> -j ACCEPT
> 
> #Abilita ftp, smtp, www, pop3, nntp, https
> iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport
--dports
> 21,25,80,110,119,443 -j ACCEPT

Come suggeritomi, ho cambiato l' ultima regola con:

#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
20,21,25,80,110,119,443 -j ACCEPT

per abilitare l' ftp in modalità passiva

Ciao e grazie :)

Reply to:

Prev by Date: Re: Pulizia del crontab...
Next by Date: Re: sarge: aggiornamento vorace
Previous by thread: Re: [OT] Politiche di firewalling...reprised
Next by thread: Re: [OT] Politiche di firewalling...reprised
Index(es):
- Date
- Thread