[Gulli] [iptables] che ne pensate?
Sandro Fabbro
fabbrosandro@gmail.com
Mar 27 Maggio 2008 22:22:53 CEST
Salve a tutti,
Vorrei sapere che ne pensate di questa configurazione per
iptables.Pensate sia abbastanza sicura? Se avete consigli ditemi pure.
Allora prima vi faccio una piccola introduzione della mia rete
wan <-> router <-> linuxbox (il router manda verso la linuxbox tutto
il traffico proveniente dalla wan mentre il firewall integrato
continua a proteggere le altre macchine)
La rete è cosi configurata 192.168.178.1 il router e 192.168.178.3 la
linuxbox.Lo scopo è proteggere la macchina dalla wan (tutti i servizi
sulla macchina devono funzionare esclusivamente in lan) ad eccezione
delle porte di mldonkey che ovviamente devono rimanere aperte.
*filter
:INPUT DROP [4840:253410]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1446:338808]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 4001 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 4080 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 445 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --sport 137 --dport
1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.178.0/24 --dport 631 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.178.0/24 --dport 137:139 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.178.0/24 --sport 137:138 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 208.67.222.222/32 -p udp -m udp --sport 53 -m state
--state ESTABLISHED -j ACCEPT
-A INPUT -s 208.67.220.220/32 -p udp -m udp --sport 53 -m state
--state ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 21098 -j ACCEPT
-A INPUT -p udp -m udp --dport 21102 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20547 -j ACCEPT
-A INPUT -p udp -m udp --dport 20547 -j ACCEPT
-A INPUT -p udp -m udp --dport 13035 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6881:6882 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
-A INPUT -s 192.168.178.3 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
Ho già fatto dei test con dei servizi online come
https://www.grc.com/x/ne.dll?bh0bkyd2 e tutte le porte risultano
nascoste eccetto quelle aperte alla wan e questo penso sia
corretto.Tutti i servizi in lan funzionano.
Grazie per ogni eventuale consiglio e suggerimento
Sandro
--
--
_ Fabbro Sandro
(o-
//\ Cellulare : 3929719967
v_/_ Assistenza a domicilio su appuntamento dal Lunedì al Venerdi
dalle 9 alle 18
Linux è come pimp my ride...Gli affidi un catorcio e lo trasforma in
qualcosa di unico
Maggiori informazioni sulla lista
Gulli