Curiosità su Iptables

To: debian-italian@lists.debian.org
Subject: Curiosità su Iptables
From: 1984viking <1984viking@gmail.com>
Date: Thu, 8 May 2008 13:46:36 +0200
Message-id: <[🔎] 200805081346.58668.1984viking@gmail.com>

Ciao a tutti della lista....
Avrei una curiosità riguardo a delle regole di iptables che ho letto su un 
manuale:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
A prima vista mi sono sembrate delle buone regole "ovviamente per le mie 
conoscenze" nel impostare il drop sulle catene di input e forward, l'accept 
sull'output e caricare il modulo state per effettuare il tracciamento delle 
connessioni..
L'unica cosa è che applicando tali regole mi trovavo con il wm completamente 
bloccato.....
Ho risolto il problema aggiungendo la regola:
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
pensando che le regole precedenti non mi permettessero le connessioni 
locali...
Secondo il vostro parere, queste regole, sono sufficientemente buone per un 
utilizzo desktop?Oppure nel caso non lo fossero, come potrei modificarle?
Colgo l'occasione per postarvi degli script da me fatti per gestire alcuni 
parametri della rete...spero che vi possano essere d'aiuto:

1)firewall
#!/bin/bash
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2)netcustom(richiede zenity)
#!/bin/bash
#script per la gestione temporanea dei parametri principali di rete
opt=""
tmb=""
iht=""
ilt=""
it=""
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
function tcp_max_backlog(){
tmb=$(zenity --entry --text="Set new value for the TcpMaxBacklog 
(default=1024)")
echo ${tmb} > /proc/sys/net/ipv4/tcp_max_syn_backlog
return
}
function ipfrag_high_thresh(){
iht=$(zenity --entry --text="Set new value for the IpfragHighThreshold 
(default=262144)")
echo ${iht} > /proc/sys/net/ipv4/ipfrag_high_thresh
return
}
function ipfrag_low_thresh(){
ilt=$(zenity --entry --text="Set new value for the IpfragLowThreshold 
(default=196608)")
echo ${ilt} > /proc/sys/net/ipv4/ipfrag_low_thresh
return
}
function ipfrag_time(){
it=$(zenity --entry --text="Set new value for the IpfragTime (default=30)")
echo ${it} > /proc/sys/net/ipv4/ipfrag_time
return
}
function rp_filter(){
for a in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $a
    done
return
}
function get_options(){
opt=$(zenity --width=400 --height=600 --list --checklist --separator="" --text="Opzioni" --column=Scelta --column=Opzioni --column=Lettera_Operazione 
0 enable_icmp_echo_ignore_all a 1 disable_icmp_echo_ignore_broadcasts b 2 
enable_icmp_errors_use_inbound_ifaddr c 3 
disable_icmp_ignore_bogus_error_responses d 4 enable_ip_forward e 5 
enable_tcp_ecn f 6 enable_tcp_syncookies g 7 change_tcp_max_syn_backlog h 8 
change_ipfrag_high_thresh i 9 change_ipfrag_low_thresh l 10 
change_ipfrag_time m 11 disable_accept_redirects n 12 
enable_accept_source_route o 13 enable_log_martians p 14 enable_mc_forwarding 
q 15 enable_rp_filter r 16 disable_secure_redirects s 17 
disable_send_redirects t 18 enable_iptables_firewall 
u --hide-column=3 --print-column=3)
return
}
get_options

if [[ $(echo $opt | grep "a") ]];then echo 1 
> /proc/sys/net/ipv4/icmp_echo_ignore_all ; fi
if [[ $(echo $opt | grep "b") ]];then echo 0 
> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ; fi
if [[ $(echo $opt | grep "c") ]];then echo 1 
> /proc/sys/net/ipv4/icmp_errors_use_inbound_ifaddr ; fi
if [[ $(echo $opt | grep "d") ]];then echo 0 
> /proc/sys/net/ipv4icmp_ignore_bogus_error_responses ; fi
if [[ $(echo $opt | grep "e") ]];then echo 1 > /proc/sys/net/ipv4/ip_forward ; 
fi
if [[ $(echo $opt | grep "f") ]];then echo 1 > /proc/sys/net/ipv4/tcp_ecn ; fi
if [[ $(echo $opt | grep "g") ]];then echo 1 
> /proc/sys/net/ipv4/tcp_syncookies ; fi
if [[ $(echo $opt | grep "h") ]];then tcp_max_backlog ; fi
if [[ $(echo $opt | grep "i") ]];then ipfrag_high_thresh ; fi
if [[ $(echo $opt | grep "l") ]];then ipfrag_low_thresh ; fi
if [[ $(echo $opt | grep "m") ]];then ipfrag_time ; fi
if [[ $(echo $opt | grep "n") ]];then echo 0 
> /proc/sys/net/ipv4/conf/all/accept_redirects ; fi
if [[ $(echo $opt | grep "o") ]];then echo 1 
> /proc/sys/net/ipv4/conf/all/accept_source_route ; fi
if [[ $(echo $opt | grep "p") ]];then echo 1 
> /proc/sys/net/ipv4/conf/all/log_martians ; fi
if [[ $(echo $opt | grep "q") ]];then echo 1 
> /proc/sys/net/ipv4/conf/all/mc_forwarding ; fi
if [[ $(echo $opt | grep "r") ]];then rp_filter ; fi
if [[ $(echo $opt | grep "s") ]];then echo 0 
> /proc/sys/net/ipv4/conf/all/secure_redirects ; fi
if [[ $(echo $opt | grep "t") ]];then echo 0 
> /proc/sys/net/ipv4/conf/all/send_redirects ; fi
if [[ $(echo $opt | grep "u") ]];then firewall ; fi


Ciao a tutti e grazie in anticipo

Attachment: signature.asc
Description: This is a digitally signed message part.

Reply to:

Follow-Ups:
- Re: Curiosità su Iptables
  - From: Luca Sighinolfi <lsighinolfi@gmail.com>
- Re: Curiosità su Iptables
  - From: Nic <nic666@gmail.com>

Prev by Date: Re: Debian Vs Ubuntu
Next by Date: Re: Debian Vs Ubuntu
Previous by thread: Re: Debian Vs Ubuntu
Next by thread: Re: Curiosità su Iptables
Index(es):
- Date
- Thread