Re: Regles IPtables

To: Maria Garcia Suarez <mariagarciasuarez@yahoo.com>, debian-user-catalan@lists.debian.org
Subject: Re: Regles IPtables
From: Antoni Bella Perez <bella5@teleline.es>
Date: Thu, 20 Feb 2003 18:36:53 +0100
Message-id: <[🔎] 200302201836.53895.bella5@teleline.es>
In-reply-to: <[🔎] 20030220100015.96343.qmail@web13113.mail.yahoo.com>
References: <[🔎] 20030220100015.96343.qmail@web13113.mail.yahoo.com>

A Dijous 20 Febrer 2003 11:00, Maria Garcia Suarez va escriure:
> Que us sembla? Em deixo alguna cosa oberta? Tallo
> alguns paquets que hauria d'acceptar?

  A la política general jo establiria la política OUTPUT a RETURN per evitar 
que se'm quedi un servei propi penjat esperant una resposta que no rebrà mai, 
tot i que amb la secció OUTPUT que hi ha al final tampoc és necessari i 
ademés et quedarà documentat a la bitàcola. Molt bé!

  En aquest punt cal establir -si es vol- les regles de seguretat per al 
tràfic en la xarxa. Totes són agafades d'aquí i d'allà pel que caldria mirar 
si s'han d'actualitzar:

##############################
#- Variables
IFACE=eth0
IP_LOCAL=Cadascú la seva
LOOPBACK=127.0.0.0/8
#-Valors SYN
        LIMIT="1/s"
        LIMIT_BURST="4"

## REGLES ##
#(Primer de tot descarregarem al nostre sistema d'una càrrega innecessària)
#
#-Assegurar-se de que les noves conexions tcp són paquets SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix 
"Paquet nou no syn:"
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
#
#-Protecció SYN-FLOOD
iptables -N syn-flood
iptables -A INPUT     -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit $LIMIT --limit-burst $LIMIT_BURST -j 
RETURN
iptables -A syn-flood -j DROP
#
#-Fragmentació
iptables -A INPUT -i $IFACE -f -j LOG --log-level info --log-prefix "FRAG: "
iptables -A INPUT -i $IFACE -f -j DROP
#
#-Spoofing
iptables -A INPUT   -i $IFACE -s $IP_LOCAL -j DROP
iptables -A FORWARD -i $IFACE -d $LOOPBACK -j DROP
iptables -A INPUT   -i $IFACE -d $LOOPBACK -j DROP
iptables -A FORWARD -i $IFACE -d $IP_LOCAL -j DROP
iptables -A INPUT   -i $IFACE -d $IP_LOCAL -j DROP
#
#-TCPMSS
#
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu
#
iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG
#
#(A partir d'aquí resulta força interessant implementar-se un tallafocs 
personalitzat)
#############################

  El que m'ha agradat especialment és la primera taula INPUT doncs al meu 
tallafocs les tinc especificades per separat per a cada servei obert, tot i 
que el RELATED siga necessari en tinc els meus dubtes.

  Pel demés que opini algú altre que jo d'entés sols en tinc l'experiència 
pròpia i no tinc més xarxa i servidors que els de la Internet.

  Toni
-- 

  Sort

######## Antoni Bella Perez ####################                             |
# http://www.terra.es/personal7/bella5/home.htm
## <bella5@teleline.es> ## i
col·laborador del projecte Debian en català: debian.org/index.ca.htm
Maquinari: - Pentium II 300MHz 128MB memòria 598.01 bogomips
Sistema:   - Debian GNU/Linux-2.4.20  -  XFree86 4.2.1-5

-

Attachment: pgpu_HhwNwRCc.pgp
Description: signature

Reply to:

References:
- Regles IPtables
  - From: Maria Garcia Suarez <mariagarciasuarez@yahoo.com>

Prev by Date: Regles IPtables
Next by Date: Re: Regles IPtables
Previous by thread: Regles IPtables
Next by thread: Re: Regles IPtables
Index(es):
- Date
- Thread