[Golem] [Fwd: Integrazione rc.firewall release ALPHA]

Hal hal@linux.it
Mar 19 Nov 2002 15:32:07 CET 

Per MM,

Stasera non riesco a passare da Pagnana, o, se ci passo, riesco a fermarmi
solo per pochi minuti.
Ho preparato le copie di Linux Pratico da lasciarti per le fotocopie. Ci
metto insieme anche altre due copie della dyne:bolic (per fare la radio
via Internet da casa).
Ti do tutto stasera.

____________

Per tutti,

Ecco un file per fare un firewall minimo con Linux e Netfilter (iptables).
E' migliorabile. Chi lo prova e lo modifica e' pregato di informare tutti.
Grazie.
____________

Per Tommaso,

Ci siete stasera?


Ciao

Hal







Ecco il firewall di MM

-------- Original Message --------
Subject: Integrazione rc.firewall release ALPHA
From: MM <msa76@libero.it>
Date: Mon, November 18, 2002 9:44 pm
To: hal@linux.it

Ciao Hal

Ti invio il file rc.firewall con i commenti (guarda tu se vanno bene) e
con  alcune aggiunte finali per il formato udp

Se va bene posta in lista tu per mio conto, altrimenti ne parliamo domani
sera  e la versione corretta la invio io.

Ricordati di portarmi le copie di Linux Pratico, se non e' una
scocciatura. Ci faccio le fotocopie e poi ti riporto quelle insieme anche
allo special di  PC professionale.

Ciao
MM.

-------------------------------------------------

#Inizio del file /etc/rc.d/rc.firewall2
#abilitazione del reinoltro dei pacchetti (packet forwarding)
echo 1 > /proc/sys/net/ipv4/ip_forward

#la precedente istruzione abilita il reinoltro dei pacchetti,
#modificando il file ip_forward, che, come tutti i file sotto /proc,
#risiede nella RAM e perci va modificato ad ogni avvio

#Inizializzazione e annullamento di eventuali regole presenti
iptables -F
iptables -X

#Net Address Resolution (nat) per il "mascheramento" dei pacchetti
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#indica al kernel di guardare nella tabella nat, quando viene incontrato
#un pacchetto che sta creando una nuova connessione, in questo caso
#POSTROUTING cio�un pacchetto che sta per essere inviato tramite -o
ppp0, #che deve essere (-j) mascherato, MASQUERADE. MASQUERADE �un
target della  #regola
#da usare solo in caso di IP dinamici, nella tabella nat e nel canale di
#POSTROUTING
#nel caso di IP statici si usa SNAT target. Quando l'interfaccia va gi,
viene #dimenticata pure la connessione.


#Blocca tutti i tentativi di connessione dall'esterno
iptables -A INPUT -i ppp0 -p tcp --syn -j DROP

#appendi nel canale di INPUT per i pacchetti provenienti da ppp0 che
usano il  #protocollo
#tcp e sono del tipo syn, cio�pacchetti inviato per inizializzare una
#connessione tcp,
#la regola DROP, cio�rifiuta.

#Abilitazione al transito per settare il computer come router per i
pacchetti #provenienti dall'altro computer
iptables -P FORWARD -s 192.168.0.2 ACCEPT

#Blocca l'accesso di pacchetti udp al computer provenienti da ppp0
iptables -A INPUT -p udp -i ppp0 -j DROP

#Ingresso dei pacchetti UDP consentito solo per i DNS libero
iptables -A INPUT -p udp -s 195.210.91.100 -i ppp0 -j ACCEPT
iptables -A INPUT -p udp -s 193.70.192.100 -i ppp0 -j ACCEPT

#fine del file /etc/rc.d/rc.firewall2
---------------------------------------------------------------

Maggiori informazioni sulla lista golem