Consiglio regole iptables da applicare ad un'azienda..

To: "debian list" <debian-italian@lists.debian.org>
Subject: Consiglio regole iptables da applicare ad un'azienda..
From: "wannabe.mail" <wannabe.mail@libero.it>
Date: Thu, 26 Apr 2007 11:12:45 +0200
Message-id: <[🔎] JH3LL9$6EA450BA0CAA62AD601E80372AFB55F6@libero.it>

Ciao ho la necessita di installare un fw linux e una server mail in una piccola azienda.

Ecco la situazione.

Router adsl ip 192.168.0.1
Ip fw 192.168.0.2 (ETH0) e 10.10.1.1 (ETH1)
Ip server dns 10.10.1.3
Ip rete 10.10.1.x

Avevo ipotizzata questa configurazione di iptables
################################################################### DEFAULT CHAIN
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#iptables -t nat -P POSTROUTING DROP
#iptables -t nat -P PREROUTING DROP
##### END DEFAULT CHAIN
###################################################################### REGOLE PERSONALIZZATE
##################################################
# ABILITO IL MASQUERADE PER I PC DELLA RETE
iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE

# ABILITO IL FORWARD DEI PACCHETTI CHE HANNO QUALCHE RELAZIONE CON LE CONNESSIONI ESITENTI
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ABILITO IL DNS DA PARTE DEL SERVER DNS
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.3 --dport 53 -m state --state NEW -j ACCEPT
iptables -t filter -A FORWARD -p udp -i eth1 -o eth0 -s 10.10.1.3 --dport 53 -m state --state NEW -j ACCEPT

# ABILITO LA NAVIGAZIONE DEI PC DELLA RETE
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.0/24 --dport 80 -m state --state NEW -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -s 10.10.1.0/24 --dport 443 -m state --state NEW -j ACCEPT

# ABILITO LOCALHOST
iptables -t filter -A INPUT -p tcp -i lo -j ACCEPT

# MAIL - DO LA POSSIBILITA DI SCARICARE (IMAP) E INVIARE MAIL AGLI UTENTI DELLA RETE
iptables -t filter -A INPUT -p tcp -i eth1 -s 10.10.1.0/24 --dport 143 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth1 -s 10.10.1.0/24 --dport 25 -j ACCEPT

# PING - ABILITO IL PING DALLA RETE VERSO L'ESTERNO E VERSO IL FW
iptables -t filter -A FORWARD -p icmp -i eth1 -o eth0 -s 10.10.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -p icmp -i eth1 -s 10.10.1.0/24 -j ACCEPT

#************************************* FINE

Le regole funzionano perchè le ho provate riproducendo la situazione.. Ma secondo voi sono corrette?

Ho anche alcune domande..

- # ABILITO IL MASQUERADE PER I PC DELLA RETE
iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE
Perchè se modifico la regola sopra in

iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 10.10.1.0/24 -j MASQUERADE
non funziona più nulla??

- Altra cosa. E' bene lasciare ad "ACCEPT" la regola di OUTPUT?

- Infine..
# ABILITO LOCALHOST PER LEGGERE LE MAIL DAL SERVER E ALTRO
iptables -t filter -A INPUT -p tcp -i lo -j ACCEPT

Subito avevo scritto:

iptables -t filter -A INPUT -p tcp -i lo --dport 143 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i lo --dport 25 -j ACCEPT

ma quando riavviavo il pc ci metteva una vita a partire (10 minuti..)
attendava secondo me il time out di qualcosa scaduto il quale faceva partire
gli altri servizio.
Ho tolto le porta e reso la regola più "aperta" e tutto ora va bene.
Perche secondo voi? Bloccavo qualche servizio?

ciao



------------------------------------------------------
Leggi GRATIS le tue mail con il telefonino i-mode? di Wind
http://i-mode.wind.it/

Reply to:

Prev by Date: [OT] PEAR Quickform Livesearch
Next by Date: pacchetto localizer (Zope)
Previous by thread: [OT] PEAR Quickform Livesearch
Next by thread: pacchetto localizer (Zope)
Index(es):
- Date
- Thread