gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto:
> #! /bin/sh
> #Azzera i contatori dei pacchetti
> iptables -Z
> #Svuota tutte le catene dalle loro regole
> iptables -F
> #Cancella le catene definite dall' utente
> iptables -X
> #Impostazione delle policy
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> #Catena di INPUT
> #Logga i pacchetti droppati
> iptables -A INPUT -j LOG --log-prefix "Bloccato "
> [...]
Questa spostala alla fine della catena INPUT; ora l'ordine delle regole
per INPUT sarebbe:
loggare i pacchetti
accettare tutto da loopback
accettare solo established e related da eth0
"droppare"
se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un
bel DOS da solo :-))
> #Catena di OUTPUT
> #Logga i pacchetti droppati
> iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
> [...]
Idem
Un consiglio in generale: usa delle variabili nello script: se in futuro
diventa piu` complesso e cambi IP o interfaccia verso internet e` piu`
facile cambiarlo.
Esempio:
IP_INSICURO_1=192.168.1.10
IF_INSICURA_1=eth0
iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} ....
--
Ave Johan Haggi
"Se usi microsoft outlook, per favore, non inserire il mio indirizzo nella tua
rubrica: non voglio essere invaso da "virus-mail" ogni volta che viene scoperta
una delle sue innumerevoli falle." - Autore ignoto - 2003
