[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Regole del firewall

paolo wrote:



Non vorrei dire cavolate ma in tutte e tre le regole "-o $INT"
non ha senso perchè tu stai dando la politica di default delle tre tabelle. Secondo me iptables te le ignora semplicimente. 
Per esempio che senso ha la regola che dice "la policy della tabella
di input è DROP per i pacchetti che escono su eth0"??

Ultima cosa: visto che è una LAN casalinga (e quindi la sicurezza
è importante, ma non ci sono in ballo miolioni di euro come in ambito
aziendale) io terrei la
policy del FORWARD a ACCEPT
Mi sembra che la tua considerazione sia più che giusta, ho un pò cercato, letto e spulciato quà e là ed ho tirato su uno script che credo possa avere un senso. Ho spostato in alto le regole di default, seguite dalle eccezzioni, ma non sono sicuro di aver capito bene se vada così o al contrario... In più credevo di aver capito che iptables -F cancelli tutte le vacchie regole, quindi non capisco perchè tu l'hai messo subito sotto le regole di default (scusa se è una domanda sciocca). 

Questo è quello che ho partorito:

#GENERALE
#-------------------------------------------
#interfaccia internet,path iptables e sottoreti
#-------------------------------------------
INT="eth0"
IPT="/sbin/iptables"
NET1="192.168.1.0/24"
NET2="192.168.2.0/24"
#-------------------------------------------
#Moduli del kernel
#-------------------------------------------
modprobe iptable_nat
###########################
#FIREWALL
###########################
#-------------------------------------------
#Comportamento di default per i pacchetti in entrata, uscita e transito
#-------------------------------------------
$IPT -P INPUT -i $INT -j DROP
$IPT -P FORWARD -i $INT -j ACCEPT
$IPT -P OUTPUT -o $INT -j ACCEPT
#-------------------------------------------
#Protezione
#-------------------------------------------
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#-------------------------------------------
#Transito dei pacchetti richiesti o provenienti dalla rete interna
#-------------------------------------------
$IPT -A FORWARD -s $NET1 -j ACCEPT
$IPT -A FORWARD -s $NET2 -j ACCEPT
$IPT -A FORWARD -m state --state ESTBALISHED,RELATED -j ACCEPT
#-------------------------------------------
#Ping
#-------------------------------------------
$IPT -A INPUT -p icmp -j ACCEPT
#-------------------------------------------
#ssh
#-------------------------------------------
$IPT -A INPUT -i $INT -p tcp -m tcp --dport 22 -s 5.8.xxx.xx -j ACCEPT
#---------------------------------------------------------------
#Permetti a tutti di inviare pacchetti ICMP?
#---------------------------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/second --limit-burst 100 -j ACCEPT 
###########################
#GATEWAY
###########################
#-------------------------------------------
#IPforward
#-------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#-------------------------------------------
#Regole di masquerade
#-------------------------------------------
$IPT -t nat -A POSTROUTING -s $NET1 -o $INT -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $NET2 -o $INT -j MASQUERADE

Grazie per il tuo tempo.
Fra

--
www.debianizzati.org
-------------------------------------
Per favore non mandarmi allegati Word o PowerPoint.
Puoi utilizzare formati come pdf, html o testo semplice.
Maggiori info su: http://www.fsf.org/philosophy/no-word-attachments.it.html
Reply to: