[gl-como] Iptables

Carlo Filippetto carlo.target@tiscali.it
Mar 8 Giu 2010 11:41:12 CEST


Ottima soluzione:

qui le mie regole, servissero a qualcuno o qualcuno volesse migliorarle

--------
## Creo il chain solo per la eth1 le permetto di stabilire le connessioni
iptables -N FIREWALL-IN
iptables -A FIREWALL-IN -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -j FIREWALL-IN

## Ne creo uno anche per l'OUTPUT
iptables -N FIREWALL-OUT
iptables -A OUTPUT -o eth1 -j FIREWALL-OUT

## filtro gli ip in ingresso sulla porta eth1 (solo da Megabot)
iptables -A FIREWALL-IN -i eth1 -s  10.0.255.99 -j ACCEPT
iptables -A FIREWALL-IN -i eth1 -j DROP
// credo che qui posso omettere di scrivere che si tratta della eth1
// confermate?

## filtro gli IP in uscita dall'interfaccia (sorgente) corretta (solo
per Megabot), impostando con '-o' la --out-interface
iptables -A FIREWALL-OUT -o eth1 -j ACCEPT
iptables -A FIREWALL-OUT -o eth1 -j DROP
// Anche in questo caso penso posso omettere di scrivere che si tratta
della eth1, visto che il canale è il suo dedicato

Che ne dite?



Saluti





Il 08 giugno 2010 11.28, Luca Tettamanti <kronos.it@gmail.com> ha scritto:
> 2010/6/8 Carlo Filippetto <carlo.target@tiscali.it>:
>> ho un server con 2 IP, uno interno ed uno esterno..
>> devi impedire che dalla interfaccia interna acceda a tutta la rete,
>> mentre deve accedere solo ad 1 singolo server e ricevere 'comandi'
>> solo da quest'ultimo
>>
>> allora:
>> eth0 -> 151.1.1.1         IP PUBBLICO
>> eth1 -> 10.0.255.10
>>
>> SERVER 2=eth0 -> 10.0.255.99
>
> Quindi server1 deve poter solo accettare dati da server 2 e deve poter
> inviare dati solo a server 2?
>
>>
>> iptables -N FIREWALL
>> iptables -A FIREWALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A FIREWALL -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A FIREWALL -i lo -j ACCEPT
>> iptables -A INPUT -j FIREWALL
>> iptables -A FIREWALL -i eth1 -s  10.0.255.99 -j ACCEPT
>> iptables -A FIREWALL -i eth1 -j DROP
>>
>>
>> Fin qui limito le richieste in ingresso verso eth1, ma come faccio a
>> limitare le richieste in uscita da eth1?
>>
>> Non mi accetta il comando
>>      iptables -A OUTPUT -i eth1 -d 10.0.255.99 -j ACCEPT
>> non so come specificare che solo per quella interfaccia deve limitarne il range
>
> -i specifica l'interfaccia in input, ti serve -o:
>
> iptables -A OUTPUT -o eth1 -d 10.0.255.99 -j ACCEPT
>
>> Domanda 2:
>> c'è un modo per 'bloccare' la eth0, o per meglio dire per impedirmi di
>> fare casini e bloccarne i servizi mentre 'gioco' con iptables
>> (qualcosa tipo trusted)?
>
> AFAIK non si può, se sei root hai la possibilità di distruggere la macchina ;-)
> Come approssimazione puoi creare che chain separate per le interfacce
> e lavorare solo su quella di eth1, eg:
>
> iptables -A INPUT -i eth0 -j publicInput
> iptables -A INPUT -i eth1 -j privateInput
> iptables -A OUTPUT -o eth0 -j publicOutput
> iptables -A OUTPUT -o eth1 -j privateOutput
>
> L
>
> --
> Mailing list info: http://lists.linux.it/listinfo/gl-como
>


Maggiori informazioni sulla lista gl-como