On Thu, 23 Dec 2004 00:30:18 +0100 automatic_jack <[EMAIL PROTECTED]> wrote:
> On Wed, 22 Dec 2004 19:10:23 +0100 > automatic_jack <[EMAIL PROTECTED]> wrote: > > > Ciao, > > > > Vi ripropongo in maniera un po' differente una vecchia curiosità... > > > > Ha senso impostare per iptables la policy DROP per la catena di INPUT > > (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per > > quella OUTPUT, permettendo in quest' ultima che passi solo il traffico > > desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)? > > > > La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi > > garantisce già una buona protezione in INPUT (supero brillantemente i > > vari test on line) e per il quale ho disabilitato la gestione da > > Internet > > > > Vi sono soluzioni migliori? > > > > > > Grazie :) > > L' idea è di far qualcosa di simile a quanto riportato di seguito...per > ora l' ho messo su e non ho riscontrato alcun problema nell' uso > normale, ma ogni suggerimento è davvero ben accetto :) > > Mi scuso sin d' ora per i contenuti e l' impaginazione :( > > > #! /bin/sh > > #Azzera i contatori dei pacchetti > iptables -Z > > #Svuota tutte le catene dalle loro regole > iptables -F > > #Cancella le catene definite dall' utente > iptables -X > > #Impostazione delle policy > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > > #Catena di INPUT > > #Logga i pacchetti droppati > iptables -A INPUT -j LOG --log-prefix "Bloccato " > > #Abilita l' interfaccia di loopback in input > iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT > > #Abilita le connessioni established e related > iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state > ESTABLISHED,RELATED -j ACCEPT > > > #Catena di OUTPUT > > #Logga i pacchetti droppati > iptables -A OUTPUT -j LOG --log-prefix "Bloccato " > > # Abilita l' interfaccia di loopback in output > iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT > > #Abilita il dns > iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53 > -j ACCEPT > > #Abilita ftp, smtp, www, pop3, nntp, https > iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports > 21,25,80,110,119,443 -j ACCEPT Come suggeritomi, ho cambiato l' ultima regola con: #Abilita ftp-data,ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports 20,21,25,80,110,119,443 -j ACCEPT per abilitare l' ftp in modalità passiva Ciao e grazie :)
