A Dijous 20 Febrer 2003 11:00, Maria Garcia Suarez va escriure: > Que us sembla? Em deixo alguna cosa oberta? Tallo > alguns paquets que hauria d'acceptar? A la política general jo establiria la política OUTPUT a RETURN per evitar que se'm quedi un servei propi penjat esperant una resposta que no rebrà mai, tot i que amb la secció OUTPUT que hi ha al final tampoc és necessari i ademés et quedarà documentat a la bitàcola. Molt bé! En aquest punt cal establir -si es vol- les regles de seguretat per al tràfic en la xarxa. Totes són agafades d'aquí i d'allà pel que caldria mirar si s'han d'actualitzar: ############################## #- Variables IFACE=eth0 IP_LOCAL=Cadascú la seva LOOPBACK=127.0.0.0/8 #-Valors SYN LIMIT="1/s" LIMIT_BURST="4" ## REGLES ## #(Primer de tot descarregarem al nostre sistema d'una càrrega innecessària) # #-Assegurar-se de que les noves conexions tcp són paquets SYN iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Paquet nou no syn:" iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP # #-Protecció SYN-FLOOD iptables -N syn-flood iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit $LIMIT --limit-burst $LIMIT_BURST -j RETURN iptables -A syn-flood -j DROP # #-Fragmentació iptables -A INPUT -i $IFACE -f -j LOG --log-level info --log-prefix "FRAG: " iptables -A INPUT -i $IFACE -f -j DROP # #-Spoofing iptables -A INPUT -i $IFACE -s $IP_LOCAL -j DROP iptables -A FORWARD -i $IFACE -d $LOOPBACK -j DROP iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP iptables -A FORWARD -i $IFACE -d $IP_LOCAL -j DROP iptables -A INPUT -i $IFACE -d $IP_LOCAL -j DROP # #-TCPMSS # iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG # #(A partir d'aquí resulta força interessant implementar-se un tallafocs personalitzat) ############################# El que m'ha agradat especialment és la primera taula INPUT doncs al meu tallafocs les tinc especificades per separat per a cada servei obert, tot i que el RELATED siga necessari en tinc els meus dubtes. Pel demés que opini algú altre que jo d'entés sols en tinc l'experiència pròpia i no tinc més xarxa i servidors que els de la Internet. Toni -- Sort ######## Antoni Bella Perez #################### | # http://www.terra.es/personal7/bella5/home.htm ## <bella5@teleline.es> ## i col·laborador del projecte Debian en català: debian.org/index.ca.htm Maquinari: - Pentium II 300MHz 128MB memòria 598.01 bogomips Sistema: - Debian GNU/Linux-2.4.20 - XFree86 4.2.1-5 -
Attachment:
pgpu_HhwNwRCc.pgp
Description: signature