[CB-lug] firewall

[Kumrah]

Ciao, bene credo di essere riuscito a mettere su un firewall decente, grazie
ai vostri consigli e alle mi grandi doti intellettive (hi hi hihi so tropp
fort). lo scrivo qui di seguito e darò anche qualche spiegazione se riuscite
a darmi qualche altro consiglio ve ne sarei grato.

Questo è lo script che vorrei utilizzare (chiunque abbia modifiche da
suggeririmi.... :D):

echo 0 > /proc/sys/net/conf/eth0/accept_source_route
echo 0 > /proc/sys/net/ipv4/tcp_ecn
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/conf/eth0/rp_filter


in quest'ultimo comando non ho usato il ciclo "for do dane" perchè ho
unasola scheda di rete e non avrebbe travato altro che la dir
/proc/sys/net/conf/eth0.

 Allora passiamo alle catene e alle regole. Tanto per cominciare imposto il
firewall con una policy di DROP, nego qiundi qualsiasi cosa per poi inserire
le regole che mi interessano:

iptabels -F                            #cancello ogni regola nelle catene
iptables -P INPUT DROP        #per la catena INPUT imposto la policy di DROP
(impedisco il transito di pacchetti)
iptabels -P OUTPUT DROP     # analogo a precedente
iptables -P FORWARD DROP # come sopra



iptables -A INPUT -i eth0 -s 127.0.0.1 -j DROP
iptables -A INPUT -i eth0 -m state --state NEW -j DROP
iptables -A INPUT -i eth0 -p tcp -dport (n porta) -j ACCEPT #questo mi serve
per amule  non sono del tutto sicuro

che vada bene, però come logica dei comandi funziona;
iptables -A INPUT -i eth0 -p udp -dport (n porta) -j ACCEPT #come sopra!!!
iptabels -A OUTPUT -o eth0 -p tcp -sport (n porta) -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -sport (n porta) -j ACCEPT


iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

Credo ceh questo sia tutto, ancora no lo provo e vorrei sapere un modo per
testare l'efficienza di questo firewall. Un nmap che mi faccia lo scan di
tutte le porte è sufficiente?

Ah, la seconda parte dello script che mi ha inviato robertom (quella in cui
si fanno i vari controlli caratterizzata dalle "[-e ..........] &&\..."
)sono riusctio a capire in linea di massima cosa fanno ma ancora non riesco
a trovare il significato dell'opzione -e, qualcuno sa dirmi qualcosa? per
ora so solo che servono per controllare che il file /proc/sys/.... verifichi
la condizione inposta da -e, se è vero (&&) allora esegue il comando
successivo, vale a dire echo....
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/lugcb/attachments/20070214/447cfd03/attachment.htm