Ciao, bene credo di essere riuscito a mettere su un firewall decente, grazie ai vostri consigli e alle mi grandi doti intellettive (hi hi hihi so tropp fort). lo scrivo qui di seguito e darņ anche qualche spiegazione se riuscite a darmi qualche altro consiglio ve ne sarei grato.
<br><br>Questo č lo script che vorrei utilizzare (chiunque abbia modifiche da suggeririmi.... :D):<br><br>echo 0 > /proc/sys/net/conf/eth0/accept_source_route<br>echo 0 > /proc/sys/net/ipv4/tcp_ecn<br>echo 1 > /proc/sys/net/ipv4/tcp_syncookies
<br>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br>echo 1 > /proc/sys/net/conf/eth0/rp_filter <br> <br><br>in quest'ultimo comando non ho usato il ciclo "for do dane" perchč ho unasola scheda di rete e non avrebbe travato altro che la dir /proc/sys/net/conf/eth0.
<br><br> Allora passiamo alle catene e alle regole. Tanto per cominciare imposto il firewall con una policy di DROP, nego qiundi qualsiasi cosa per poi inserire le regole che mi interessano:<br><br>iptabels -F #cancello ogni regola nelle catene
<br>iptables -P INPUT DROP #per la catena INPUT imposto la policy di DROP (impedisco il transito di pacchetti)<br>iptabels -P OUTPUT DROP # analogo a precedente<br>iptables -P FORWARD DROP # come sopra<br><br><br>
<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"></blockquote></div><br>iptables -A INPUT -i eth0 -s <a href="http://127.0.0.1">
127.0.0.1</a> -j DROP<br>iptables -A INPUT -i eth0 -m state --state NEW -j DROP<br>iptables -A INPUT -i eth0 -p tcp -dport (n porta) -j ACCEPT #questo mi serve per amule non sono del tutto sicuro <br> che vada bene, perņ come logica dei comandi funziona;
<br>iptables -A INPUT -i eth0 -p udp -dport (n porta) -j ACCEPT #come sopra!!!<br>iptabels -A OUTPUT -o eth0 -p tcp -sport (n porta) -j ACCEPT <br>iptables -A OUTPUT -o eth0 -p udp -sport (n porta) -j ACCEPT<br><br><br>iptables -A INPUT -i lo -s
<a href="http://127.0.0.1">127.0.0.1</a> -j ACCEPT<br>iptables -A OUTPUT -o lo -d <a href="http://127.0.0.1">127.0.0.1</a> -j ACCEPT<br><br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
<br><br>Credo ceh questo sia tutto, ancora no lo provo e vorrei sapere un modo per testare l'efficienza di questo firewall. Un nmap che mi faccia lo scan di tutte le porte č sufficiente?<br><br>Ah, la seconda parte dello script che mi ha inviato robertom (quella in cui si fanno i vari controlli caratterizzata dalle "[-e ..........] &&\..." )sono riusctio a capire in linea di massima cosa fanno ma ancora non riesco a trovare il significato dell'opzione -e, qualcuno sa dirmi qualcosa? per ora so solo che servono per controllare che il file /proc/sys/.... verifichi la condizione inposta da -e, se č vero (&&) allora esegue il comando successivo, vale a dire echo....