[LUGargano] Quali istruzioni per IPTables...

Carmine Malice instarvega_capitanlug@yahoo.it
Gio 25 Gen 2007 13:38:29 CET 

Hem, si', ma... credo che appunto ci sia un equivoco come con Ale: non
devo schermare i miei server... devo schermare i server esterni! O,
meglio, devo schermare le richieste che le mie macchine interne facciano
a server pubblici su porte usuali: porto un esempio piu' compiuto nella
mia risposta ad Ale.
Per questo vorrei sfruttare anche i comandi "reload" e "stop": ora
precludo i canali verso servizi esterni alle mie workstation ora li
concedo...
Spero d'essere stato piu' chiaro.

Omar Speranza ha scritto:
> Alessandro Rendina ha scritto:
>> Di solito il modo migliore è chiudere tutto e aprire solo i servizi che
>> s'intendono fornire.
> 
> quoto, se puo servirti come spunto ti incollo una parte del mio iptables
> (scusa gli accapo)
> 
> --------
> 
> /usr/sbin/iptables -P INPUT ACCEPT
> /usr/sbin/iptables -P OUTPUT ACCEPT
> /usr/sbin/iptables -F
> 
> # QUESTI NON LI VOGLIO PER LA POSTA
> /usr/sbin/iptables -A INPUT -s $ANTIPATICO          -p tcp --dport 110
> -j DROP
> /usr/sbin/iptables -A INPUT -s $BRUTTOCATTIVO          -p tcp --dport 25
> -j DROP
> 
> # QUESTE MACCHINE CHE CONOSCO ENTRANO IN TUTTE LE PORTE
> /usr/sbin/iptables -A INPUT -s 127.0.0.0/8              -d 0/0 -j ACCEPT
> /usr/sbin/iptables -A INPUT -s 192.168.12.0/24          -d 0/0 -j ACCEPT
> /usr/sbin/iptables -A INPUT -s 192.168.0.0/24           -d 0/0 -j ACCEPT
> /usr/sbin/iptables -A INPUT -s $UNAMIAMACCHINA          -d 0/0 -j ACCEPT
> /usr/sbin/iptables -A INPUT -s $UNALTRAMIAMACCHINA      -d 0/0 -j ACCEPT
> 
> 
> # QUALCUNO PUO' ENTRARE IN SSH
> /usr/sbin/iptables -A INPUT -s $TIZIO                -p tcp --dport 22
> -j ACCEPT
> /usr/sbin/iptables -A INPUT -s $CAIO                -p tcp --dport 22 -j
> ACCEPT
> 
> ----------------
> 
> Io aggiorno le regole ogni quarto d'ora perche' alcune macchine
> autorizzate hanno gli ip dinamici e cosi' devo rinfrescare eventuali
> cambiamenti nei servizi di dyndns.
> 
> Considera che di suo iptables scansiona le regole in sequenza cosi' come
> gliele scrivi, appena una si verifica esce ed ignora il resto.
> Nel caso qui sopra, ad esempio, la 110 e' aperta al mondo, pero' se
> $ANTIPATICO fa toc toc non ottiene risposta.
> 
> 
> Il case stop dovrebbe aprire a tutti, cosi'
> 
>   stop)
>                 /usr/sbin/iptables -P INPUT ACCEPT
>                 /usr/sbin/iptables -P OUTPUT ACCEPT
>                 /usr/sbin/iptables -F
>         ;;
> 
> 
> 
> -- 
> ~omar
>

Maggiori informazioni sulla lista LUGargano