paolo wrote:
Non vorrei dire cavolate ma in tutte e tre le regole "-o $INT"
non ha senso perchè tu stai dando la politica di default
delle tre tabelle. Secondo me iptables te le ignora semplicimente.
Per esempio che senso ha la regola che dice "la policy della tabella
di input è DROP per i pacchetti che escono su eth0"??
Ultima cosa: visto che è una LAN casalinga (e quindi la sicurezza
è importante, ma non ci sono in ballo miolioni di euro come in ambito
aziendale) io terrei la
policy del FORWARD a ACCEPT
Mi sembra che la tua considerazione sia più che giusta, ho un pò
cercato, letto e spulciato quà e là ed ho tirato su uno script che credo
possa avere un senso.
Ho spostato in alto le regole di default, seguite dalle eccezzioni, ma
non sono sicuro di aver capito bene se vada così o al contrario...
In più credevo di aver capito che iptables -F cancelli tutte le vacchie
regole, quindi non capisco perchè tu l'hai messo subito sotto le regole
di default (scusa se è una domanda sciocca).
Questo è quello che ho partorito:
#GENERALE
#-------------------------------------------
#interfaccia internet,path iptables e sottoreti
#-------------------------------------------
INT="eth0"
IPT="/sbin/iptables"
NET1="192.168.1.0/24"
NET2="192.168.2.0/24"
#-------------------------------------------
#Moduli del kernel
#-------------------------------------------
modprobe iptable_nat
###########################
#FIREWALL
###########################
#-------------------------------------------
#Comportamento di default per i pacchetti in entrata, uscita e transito
#-------------------------------------------
$IPT -P INPUT -i $INT -j DROP
$IPT -P FORWARD -i $INT -j ACCEPT
$IPT -P OUTPUT -o $INT -j ACCEPT
#-------------------------------------------
#Protezione
#-------------------------------------------
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#-------------------------------------------
#Transito dei pacchetti richiesti o provenienti dalla rete interna
#-------------------------------------------
$IPT -A FORWARD -s $NET1 -j ACCEPT
$IPT -A FORWARD -s $NET2 -j ACCEPT
$IPT -A FORWARD -m state --state ESTBALISHED,RELATED -j ACCEPT
#-------------------------------------------
#Ping
#-------------------------------------------
$IPT -A INPUT -p icmp -j ACCEPT
#-------------------------------------------
#ssh
#-------------------------------------------
$IPT -A INPUT -i $INT -p tcp -m tcp --dport 22 -s 5.8.xxx.xx -j ACCEPT
#---------------------------------------------------------------
#Permetti a tutti di inviare pacchetti ICMP?
#---------------------------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit
20/second --limit-burst 100 -j ACCEPT
###########################
#GATEWAY
###########################
#-------------------------------------------
#IPforward
#-------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#-------------------------------------------
#Regole di masquerade
#-------------------------------------------
$IPT -t nat -A POSTROUTING -s $NET1 -o $INT -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $NET2 -o $INT -j MASQUERADE
Grazie per il tuo tempo.
Fra
--
www.debianizzati.org
-------------------------------------
Per favore non mandarmi allegati Word o PowerPoint.
Puoi utilizzare formati come pdf, html o testo semplice.
Maggiori info su: http://www.fsf.org/philosophy/no-word-attachments.it.html
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
