<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
<title></title>
</head>
<body text="#000000" bgcolor="#ffffff">
<br>
<br>
Lorenzo wrote:<br>
<blockquote type="cite" cite="mid1184326318.2875.27.camel@localhost">
<pre wrap="">On Fri, 2007-07-13 at 13:04 +0200, <a class="moz-txt-link-abbreviated" href="mailto:a.podavini@mclink.it">a.podavini@mclink.it</a> wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Devi inserire due regole che droppino gli accessi alla porta 80 e alla porta 443 (https) richiesti dalla macchina 110, PRIMA di accettare le richieste di tutte le altre macchine di quella che chiami "classe C" (meglio: "sottorete C") :
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -A FORWARD -s 10.10.0.0/16 -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 80 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 443 -j DROP
$IPTABLES -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -s 0/0 -i eth0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Ultima cosa: tu scrivi $IPTABLES: si presume che da qualche parte, prima
di queste specifiche, tu abbia un:
IPTABLES=iptables
</pre>
</blockquote>
<pre wrap=""><!---->
tieni conto pero' che se il .110 si imposta un proxy sul browser passa
lo stesso.</pre>
</blockquote>
<br>
Beh, se amministra lui la rete saprà se esiste un proxy... Dalla
succinta descrizione che ha dato direi che non c'è (sennò non si
preoccuperebbe di chiudere la 80 al client; giusto Luckylu ?)<br>
<blockquote type="cite" cite="mid1184326318.2875.27.camel@localhost">
<pre wrap="">
La politica corretta sarebbe di impostare la policy per bloccare tutto e
far passare solo il necessario.
</pre>
</blockquote>
Beh, sai, stiamo parlando dell'uscita...<br>
Dipende...<br>
Anch'io come te tendo a essere un "chiusista", ma non ne farei una
regola generale...<br>
<br>
A.<br>
<br>
</body>
</html>