gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto: > #! /bin/sh > #Azzera i contatori dei pacchetti > iptables -Z > #Svuota tutte le catene dalle loro regole > iptables -F > #Cancella le catene definite dall' utente > iptables -X > #Impostazione delle policy > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > #Catena di INPUT > #Logga i pacchetti droppati > iptables -A INPUT -j LOG --log-prefix "Bloccato " > [...] Questa spostala alla fine della catena INPUT; ora l'ordine delle regole per INPUT sarebbe:
loggare i pacchetti accettare tutto da loopback accettare solo established e related da eth0 "droppare" se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) > #Catena di OUTPUT > #Logga i pacchetti droppati > iptables -A OUTPUT -j LOG --log-prefix "Bloccato " > [...] Idem Un consiglio in generale: usa delle variabili nello script: se in futuro diventa piu` complesso e cambi IP o interfaccia verso internet e` piu` facile cambiarlo. Esempio: IP_INSICURO_1=192.168.1.10 IF_INSICURA_1=eth0 iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} .... -- Ave Johan Haggi "Se usi microsoft outlook, per favore, non inserire il mio indirizzo nella tua rubrica: non voglio essere invaso da "virus-mail" ogni volta che viene scoperta una delle sue innumerevoli falle." - Autore ignoto - 2003