Re: [OT] Politiche di firewalling...reprised
Ho aggiunto alcune nuove regole per consentire l' utilizzo di aMule
richiestomi dal mio co-utente ;)
nella catena di INPUT le classiche:
#Abilitano all' uso di aMule
iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j
ACCEPT
iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport
--dports 4665,4672 -j ACCEPT
in quella di OUTPUT, dopo aver spulciato la manpage di iptables:
#Abilita all' uso di aMule
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner
amule -j ACCEPT
che, ritengo una buona soluzione vista la policy DROP su tutta la catena
Ancora una volta Vi chiedo un parere...
Lo script nella sua forma completa è il seguente:
#! /bin/sh
#Definizione delle variabili
IP_NIC=192.168.1.10
IF_NIC=eth0
IP_LOOPBACK=127.0.0.1
IF_LOOPBACK=lo
#Azzera i contatori dei pacchetti
iptables -Z
#Svuota tutte le catene delle loro regole
iptables -F
#Cancella le catene definite dall' utente
iptables -X
#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Catena di INPUT
#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d ${IP_LOOPBACK} -i ${IF_LOOPBACK} -j ACCEPT
#Abilita le connessioni established e related
iptables -A INPUT -d ${IP_NIC} -i ${IF_NIC} -m state --state
ESTABLISHED,RELATED -j ACCEPT
#Abilitano all' uso di aMule
iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j
ACCEPT
iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport
--dports 4665,4672 -j ACCEPT
#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix "Bloccato "
#Catena di OUTPUT
# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s ${IP_LOOPBACK} -o ${IF_LOOPBACK} -j ACCEPT
#Abilita il dns
iptables -A OUTPUT -p udp -s ${IP_NIC} -o ${IF_NIC} --sport 53 --dport
53 -j ACCEPT
#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m multiport
--dports 20,21,25,80,110,119,443 -j ACCEPT
#Abilita all' uso di aMule
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner
amule -j ACCEPT
#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
Mi scuso ancora del disturbo e dell' impaginazione
Grazie :)
Reply to: