[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [semi-OT] iptables e lan (come...)

2009/11/27 Pol Hallen <debitvaio@fuckaround.org>:
> I miei dubbi sono: chiudo tutto con iptables e apro solo quello che deve
> passare? ma dovrei mettermi a guardare con funziona il win update, l'update
> di mac osx, gli update degli antivirus, dei firewall dei client e gli altri
> servizi? che tipo di problemi mi ritroverei?

Gestisco un firewall con una situazione molto simile.

La soluzione migliore è senz'altro chiudere tutto e aprire con
iptables solo i servizi necessari. Il metodo senz'altro più sicuro in
assoluto è chiudere tutto e permettere ai client di accedere ad
internet solo passando per un server proxy (squid). Tutti i servizi
che hai elencato usano HTTP porta 80, quindi impostando a livello di
sistema il proxy (su Windows è sufficiente impostarlo in IE) tutto
passerebbe senza problemi.
L'unico svantaggio di questa soluzione è dover impostare a manina il
proxy su ogni computer che volesse collegarsi, ma usando WPAD
semplifichi di molto questa operazione.

Altrimenti ti conviene lasciare aperte le porte TCP 80 (HTTP), 443
(HTTPS), 21 (FTP) e, semmai serva, 22 (SSH). Se non hai un server DNS
interno attiva anche la 53 UDP. Queste porte aperte dovrebbero
permettere tutto quello che hai scritto (a meno che non abbiano un
metodo particolarmente "esotico" per andare in internet).

-- 
Dario Pilori
-Linux registered user #406515
Reply to: