[LUGargano] Quali istruzioni per IPTables...
Omar Speranza
omar.speranza@argomedia.it
Gio 25 Gen 2007 12:24:47 CET
Alessandro Rendina ha scritto:
> Di solito il modo migliore è chiudere tutto e aprire solo i servizi che
> s'intendono fornire.
quoto, se puo servirti come spunto ti incollo una parte del mio iptables
(scusa gli accapo)
--------
/usr/sbin/iptables -P INPUT ACCEPT
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -F
# QUESTI NON LI VOGLIO PER LA POSTA
/usr/sbin/iptables -A INPUT -s $ANTIPATICO -p tcp --dport 110 -j DROP
/usr/sbin/iptables -A INPUT -s $BRUTTOCATTIVO -p tcp --dport 25 -j DROP
# QUESTE MACCHINE CHE CONOSCO ENTRANO IN TUTTE LE PORTE
/usr/sbin/iptables -A INPUT -s 127.0.0.0/8 -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s 192.168.12.0/24 -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s 192.168.0.0/24 -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s $UNAMIAMACCHINA -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s $UNALTRAMIAMACCHINA -d 0/0 -j ACCEPT
# QUALCUNO PUO' ENTRARE IN SSH
/usr/sbin/iptables -A INPUT -s $TIZIO -p tcp --dport 22 -j
ACCEPT
/usr/sbin/iptables -A INPUT -s $CAIO -p tcp --dport 22 -j ACCEPT
----------------
Io aggiorno le regole ogni quarto d'ora perche' alcune macchine
autorizzate hanno gli ip dinamici e cosi' devo rinfrescare eventuali
cambiamenti nei servizi di dyndns.
Considera che di suo iptables scansiona le regole in sequenza cosi' come
gliele scrivi, appena una si verifica esce ed ignora il resto.
Nel caso qui sopra, ad esempio, la 110 e' aperta al mondo, pero' se
$ANTIPATICO fa toc toc non ottiene risposta.
Il case stop dovrebbe aprire a tutti, cosi'
stop)
/usr/sbin/iptables -P INPUT ACCEPT
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -F
;;
--
~omar
Maggiori informazioni sulla lista
LUGargano