[LUGargano] Quali istruzioni per IPTables...

Omar Speranza omar.speranza@argomedia.it
Gio 25 Gen 2007 12:24:47 CET


Alessandro Rendina ha scritto:
> Di solito il modo migliore è chiudere tutto e aprire solo i servizi che
> s'intendono fornire.

quoto, se puo servirti come spunto ti incollo una parte del mio iptables 
(scusa gli accapo)

--------

/usr/sbin/iptables -P INPUT ACCEPT
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -F

# QUESTI NON LI VOGLIO PER LA POSTA
/usr/sbin/iptables -A INPUT -s $ANTIPATICO  		-p tcp --dport 110 -j DROP
/usr/sbin/iptables -A INPUT -s $BRUTTOCATTIVO  		-p tcp --dport 25 -j DROP

# QUESTE MACCHINE CHE CONOSCO ENTRANO IN TUTTE LE PORTE
/usr/sbin/iptables -A INPUT -s 127.0.0.0/8              -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s 192.168.12.0/24          -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s 192.168.0.0/24           -d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s $UNAMIAMACCHINA  		-d 0/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -s $UNALTRAMIAMACCHINA  	-d 0/0 -j ACCEPT


# QUALCUNO PUO' ENTRARE IN SSH
/usr/sbin/iptables -A INPUT -s $TIZIO            	-p tcp --dport 22 -j 
ACCEPT
/usr/sbin/iptables -A INPUT -s $CAIO            	-p tcp --dport 22 -j ACCEPT

----------------

Io aggiorno le regole ogni quarto d'ora perche' alcune macchine 
autorizzate hanno gli ip dinamici e cosi' devo rinfrescare eventuali 
cambiamenti nei servizi di dyndns.

Considera che di suo iptables scansiona le regole in sequenza cosi' come 
gliele scrivi, appena una si verifica esce ed ignora il resto.
Nel caso qui sopra, ad esempio, la 110 e' aperta al mondo, pero' se 
$ANTIPATICO fa toc toc non ottiene risposta.


Il case stop dovrebbe aprire a tutti, cosi'

   stop)
                 /usr/sbin/iptables -P INPUT ACCEPT
                 /usr/sbin/iptables -P OUTPUT ACCEPT
                 /usr/sbin/iptables -F
         ;;



--
~omar


Maggiori informazioni sulla lista LUGargano