[LatinaLUG] Progetto interessante e buchi per la sicurezza

[Gabriele Mambrini]

Enrico Bassetti ha scritto:
> Enrico Bassetti ha scritto:
> 
>> E tutto questo per casa...
>>
> 
> Ah, e che mi dite dell'opzione "--state" di iptables? Può esser utile?

Parecchio...


# la vm può solo rispondere all'host
iptables -A -i tap0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i tap0 -j DROP

# l'host può parlare solo in ipp con la vm
iptables -A OUTPUT -o tap0 -m state --state NEW -m tcp -p tcp \
--dport ipp -j ACCEPT
iptables -A OUTPUT -o tap0 -j DROP


# non routare verso l'esterno i pacchetti che arrivano da tap0
iptables -A FORWARD -i tap0 -j DROP