:D grazie, ora però facciamo un giochino :D...io faccio i commenti sotto a quello che capisco e non capisco e magari tu mi dai le spiegazioni. Non voglio essere invadente ma vorrei capire bene.<br><br><div><span class="gmail_quote">
Il 12/02/07, <b class="gmail_sendername">robertom</b> <<a href="mailto:ulivo15@yahoo.it">ulivo15@yahoo.it</a>> ha scritto:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
oooooooops, non si è preso l'allegato, speriamo che<br>sia la volta buona<br>saluti<br><br><br><br><br><br><br><br>___________________________________<br>L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail:
<br><a href="http://it.docs.yahoo.com/nowyoucan.html">http://it.docs.yahoo.com/nowyoucan.html</a><br><br>#--------------attivazione firewall-----------------------------------------<br><br>#resetta e imposta la politica<br>
iptables -F<br>iptables -P INPUT DROP<br>iptables -P OUTPUT DROP<br>iptables -P FORWARD DROP</blockquote><div><br>fino a qua ci sono :D <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
#nega i tentativi di accesso dall'esterno e li logga in /var<br>#iptables -A INPUT -i eth1 -s <a href="http://127.0.0.1">127.0.0.1</a> -j LOG --log-prefix tentativo_spoofing</blockquote><div><br>....ho solo una scheda di rete quindi questo lo ometto....
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#iptables -A INPUT -i eth0 -s <a href="http://127.0.0.1">127.0.0.1</a> -j LOG --log-prefix tentativo_spoofing
</blockquote><div><br>...bene, se non sbaglio questo aggiunge una regola alla catena INPUT dicendo che quello che è in ingresso alla scheda di rete eth0 (quindi che nel mio caso proviene da internet) e che ha come ip sorgente
<a href="http://127.0.0.1">127.0.0.1</a> (ceh è l'indirizzo di loopback) deve essere regolato da LOG il quale me lo va scrivere nel file di log (quale?) con prefisso "tentativo_spoofing" , giusto? potresti spiegarmi bene questo comando? (Sono piuttosto curioso e mi piace capirle le cose oltre che metterle in pratica) Cosa è LOG di preciso?
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#iptables -A INPUT -i ppp0 -s <a href="http://127.0.0.1">127.0.0.1</a> -j LOG --log-prefix tentativo_spoofing
</blockquote><div><br>non ho modem... <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#iptables -A INPUT -i eth0 -m state --state NEW -j LOG --log-prefix tentativo_connessione
</blockquote><div><br> questo mi logga sotto la dicitura tentativo_connessione tutte le nuove connessioni?<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
#iptables -A INPUT -i eth1 -m state --state NEW -j LOG --log-prefix tentativo_connessione<br>#iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix tentativo_connessione</blockquote><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
iptables -A INPUT -i eth1 -m state --state NEW -j DROP</blockquote><div><br>non mi dovrebbero servire.... <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
iptables -A INPUT -i eth0 -m state --state NEW -j DROP</blockquote><div><br>questa credo che mi sia abbastanza chiara...dovrebbe servire a non accettare pacchetti dalle nuove connessioni, quindi non stabilire nuove connessioni?
</div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">iptables -A INPUT -i ppp0 -m state --state NEW -j DROP<br><br># Deny ICMP echo-requests
<br>iptables -A INPUT -p icmp -j DROP<br><br><br># Anti-spoofing blocks<br>#iptables -A INPUT -i eth1 -s <a href="http://127.0.0.1">127.0.0.1</a> -j LOG --log-prefix spoofing_superato<br>#iptables -A INPUT -i eth0 -s <a href="http://127.0.0.1">
127.0.0.1</a> -j LOG --log-prefix spoofing_superato<br>#iptables -A INPUT -i ppp0 -s <a href="http://127.0.0.1">127.0.0.1</a> -j LOG --log-prefix spoofing_superato<br><br>iptables -A INPUT -i eth1 -s <a href="http://127.0.0.1">
127.0.0.1</a> -j DROP</blockquote><div><br>;) <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">iptables -A INPUT -i eth0 -s <a href="http://127.0.0.1">
127.0.0.1</a> -j DROP</blockquote><div><br>Rifiuto i pacchetti in ingresso da eth0 ceh hanno come sorgente l'ip <a href="http://127.0.0.1">127.0.0.1</a>. serve sempre per lo spoofing, ma sulla guida leggevo che iptables si ferma alla prima regola soddisfatta, quindi teoricamente questa regola no viene mai applicata oppure si fa eccezione se prima viene usato LOG?
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">iptables -A INPUT -i ppp0 -s <a href="http://127.0.0.1">127.0.0.1</a> -j DROP<br>
<br>for i in /proc/sys/net/ipv4/conf/*/rp_filter;<br>do<br> echo 1 > $i<br> done<br><br> # Ensure source routing is OFF<br> for i in /proc/sys/net/ipv4/conf/*/accept_source_route;<br> do<br> echo 0 > $i<br> done
<br><br> # Ensure TCP SYN cookies protection is enabled<br> [ -e /proc/sys/net/ipv4/tcp_syncookies ] &&\<br> echo 1 > /proc/sys/net/ipv4/tcp_syncookies<br><br> # Ensure ICMP redirects are disabled<br> for i in /proc/sys/net/ipv4/conf/*/accept_redirects;
<br> do<br> echo 0 > $i<br> done<br><br> # Ensure oddball addresses are logged<br> [ -e /proc/sys/net/ipv4/conf/all/log_martians ] &&\<br> echo 1 > /proc/sys/net/ipv4/conf/all/log_martians<br> [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ] &&\
<br> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br> [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] &&\<br> echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses</blockquote>
<div><br>emmm ...si in efetti non ci capisco ancora una mazza di script, o meglio qualcosina la capisco però non tutto se mi puoi fare un commentino mi farebbe veramente piacere. :)<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
#carica firewall<br><br># Reject TCP packets to privileged ports<br><br><br>#consento il loopback (da/per localhost solo)<br>iptables -A INPUT -s <a href="http://127.0.0.1">127.0.0.1</a> -i lo -j ACCEPT<br>iptables -A OUTPUT -d
<a href="http://127.0.0.1">127.0.0.1</a> -o lo -j ACCEPT</blockquote><div><br>questo credo sia chiaro...forse...mmmmm...il seondo non tanto...(mamma quanto sono ignorante)...mi faresti un commentino anche qui per il secondo comando.
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#consento connessioni richieste e connesse<br>iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
<br>iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW</blockquote><div><br> e per finire il primo accetta i pacchetti in ingresso dalle connessioni già stabilite o già esistenti ed i secondo permette i transito dei pacchetti in uscita dalle connessioni gia esistenti, già stabilite e...? Dalle nuove? quindi permette di richiedere nuove connessioni?
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#--------------fine attivazione firewall-----------------------------------------
<br><br><br><br><br>--<br>Mailing list info: <a href="http://lists.linux.it/listinfo/lugcb">http://lists.linux.it/listinfo/lugcb</a><br><br></blockquote></div><br>