Re: [OT] Politiche di firewalling...reprised
On Thu, 23 Dec 2004 00:30:18 +0100
automatic_jack <automatic_jack@katamail.com> wrote:
> On Wed, 22 Dec 2004 19:10:23 +0100
> automatic_jack <automatic_jack@katamail.com> wrote:
>
> > Ciao,
> >
> > Vi ripropongo in maniera un po' differente una vecchia curiosità...
> >
> > Ha senso impostare per iptables la policy DROP per la catena di
INPUT
> > (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
> > quella OUTPUT, permettendo in quest' ultima che passi solo il
traffico
> > desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
> >
> > La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che
mi
> > garantisce già una buona protezione in INPUT (supero brillantemente
i
> > vari test on line) e per il quale ho disabilitato la gestione da
> > Internet
> >
> > Vi sono soluzioni migliori?
> >
> >
> > Grazie :)
>
> L' idea è di far qualcosa di simile a quanto riportato di
seguito...per
> ora l' ho messo su e non ho riscontrato alcun problema nell' uso
> normale, ma ogni suggerimento è davvero ben accetto :)
>
> Mi scuso sin d' ora per i contenuti e l' impaginazione :(
>
>
> #! /bin/sh
>
> #Azzera i contatori dei pacchetti
> iptables -Z
>
> #Svuota tutte le catene dalle loro regole
> iptables -F
>
> #Cancella le catene definite dall' utente
> iptables -X
>
> #Impostazione delle policy
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
>
> #Catena di INPUT
>
> #Logga i pacchetti droppati
> iptables -A INPUT -j LOG --log-prefix "Bloccato "
>
> #Abilita l' interfaccia di loopback in input
> iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
>
> #Abilita le connessioni established e related
> iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
>
> #Catena di OUTPUT
>
> #Logga i pacchetti droppati
> iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
>
> # Abilita l' interfaccia di loopback in output
> iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
>
> #Abilita il dns
> iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport
53
> -j ACCEPT
>
> #Abilita ftp, smtp, www, pop3, nntp, https
> iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport
--dports
> 21,25,80,110,119,443 -j ACCEPT
Come suggeritomi, ho cambiato l' ultima regola con:
#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
20,21,25,80,110,119,443 -j ACCEPT
per abilitare l' ftp in modalità passiva
Ciao e grazie :)
Reply to: