[CB-lug] firewall

robertom ulivo15@yahoo.it
Mar 13 Feb 2007 14:34:41 CET


non sono un espertissimo ma spero di aver chiarito in
parte nell'allegato:


	

	
		
___________________________________ 
L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail: 
http://it.docs.yahoo.com/nowyoucan.html
-------------- parte successiva --------------
mi sembra:
1)la regola LOG non blocca la catena;

2) iptables -A INPUT -i eth0  -m state --state NEW -j DROP
blocca i tentativi di connessione non partiti/richiesti da te;

3) iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -o lo -j ACCEPT

se non permetti il loopback in entrata/uscita dovrebbe bloccarsi quasi tutto, mi sembra anche i semplici programmi, prova a sperimentare.

4) iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW
sì, permette anche di creare in uscita nuove connessioni

5) script: lì non ho approfondito, più che altro ho scopiazzato qua e là, probabilmente non servono, ma come ti ho detto in dubio!!!!

6) LOG è il giornale, serve semplicemente a registrare su un file di testo (che dovrebbe stare in /var/log ma ora non ricordo esattamente) gli eventi accaduti per una verifica da parte dell'amministratore. Io come vedi li ho disattivati (#), tuttavia se senti il bisogno di un riconoscimento di potenza puoi decommentarli (togliere il #) e ti vai a leggere nel file di log lo spettacolino di quanti tentativi di connessione non autorizzati si sono verificati!!!! Ciò che viene riconosciuto da LOG ovviamente verrà poi bloccato in seguito!!! (Domanda: e ciò che riuscisse a sfuggire a LOG?!?!)

7) Ovviamente verifica che le regole siano effettivamente attive; in una konsole come root:
iptables -L -v

8) Con queste impostazioni una volta ho verificato dall'esterno, col programma di scansione nmap, che nessuna presenza si dà riguardo all'indirizzo internet del mio computer acceso e connesso.

saluti


Maggiori informazioni sulla lista Lugcb