[glux] Iptables
Giulio@tlmservice.it
giulio@tlmservice.it
Mon, 28 Oct 2002 19:40:29 +0100
This is a multi-part message in MIME format.
------=_NextPart_000_0000_01C27EB9.DF402E10
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Ciao a tutti,
qualcuno si intende di iptables?
Ho fatto uno scriptino di configurazione per un firewall di una semplice
rete,
qualcuno me lo potrebbe criticare e/o integrare?
Il problema è che ho paura di non conoscere tutti i tipi di
attacco e quindi come essere al sicuro.
Grazie
Giu
------=_NextPart_000_0000_01C27EB9.DF402E10
Content-Type: application/octet-stream;
name="rc.iptables.giu"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: attachment;
filename="rc.iptables.giu"
# CONFIGURAZIONE ETH0 CONNESSA A INTERNET
INET_IFACE=3D"eth0"
INET_IP=3D"192.168.1.80"
# CONFIGURAZIONE ETH1 CONNESSA ALLA LAN INTERNA
LAN_IFACE=3D"eth2"
LAN_IP=3D"192.9.200.1"
LAN_IP_RANGE=3D"192.9.200.0/24"
LAN_BCAST_ADDRESS=3D"192.9.200.255"
# CONFIGURAZIONE INTERFACCIA LO
LO_IFACE=3D"lo"
LO_IP=3D"127.0.0.1"
# CONFIGURAZIONI KERNEL
# POLITICHE
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# TABELLE
iptables -N bad_tcp_packets
iptables -N allowed
iptables -N icmp_packets
iptables -N tcp_packets
iptables -N udpincoming_packets
# REGOLE PER TABELLA bad_tcp
iptables -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG =
--log-prefix "Nuovo seza syn:"
iptables -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
# REGOLE PER TABELLA allowed
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j =
ACCEPT
iptables -A allowed -p TCP -j DROP
# REGOLE PER LA TABELLA icmp_packets
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
## POLITICA INPUT
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
iptables -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
iptables -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADDRESS -j ACCEPT
# DA LO ACCETTO TUTTO
iptables -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
iptables -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
iptables -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
# PACCHETTI CONNESSIONI EFFETTIVE
iptables -A INPUT -p ALL -d $INET_IP -m state --state =
ESTABLISHED,RELATED -j ACCEPT
# PACCHETTI STRANI CHE NON VENGONO ACCETTATI SOPRA
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG =
--log-prefix "Pacchetti entranti morti:"
# BLOCCO MAGAZZINO
iptables -A FORWARD -i $LAN_IFACE -s 192.9.200.99 -j REJECT
## POLITICA FORWARD
iptables -A FORWARD -p tcp -j bad_tcp_packets
# LAN FORWARDING
iptables -A FORWARD -i $LAN_IFACE -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG =
--log-prefix "Pacchetti forward morti:"
## POLITICAOUTPUT
iptables -A OUTPUT -p tcp -j bad_tcp_packets
iptables -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
iptables -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
iptables -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG =
--log-prefix "Pacchetti output morti:"
## PREROUTING
## POSTROUTING
iptables -t nat -A POSTROUTING -d ! 192.9.200.0/24 -j SNAT --to-source =
$INET_IP
------=_NextPart_000_0000_01C27EB9.DF402E10--