[Primipassi] iptables
a.podavini@mclink.it
a.podavini@mclink.it
Ven 13 Lug 2007 13:45:10 CEST
Lorenzo wrote:
>On Fri, 2007-07-13 at 13:04 +0200, a.podavini@mclink.it wrote:
>
>
>>Devi inserire due regole che droppino gli accessi alla porta 80 e alla porta 443 (https) richiesti dalla macchina 110, PRIMA di accettare le richieste di tutte le altre macchine di quella che chiami "classe C" (meglio: "sottorete C") :
>>
>>
>>echo "1" > /proc/sys/net/ipv4/ip_forward
>>$IPTABLES -A FORWARD -s 10.10.0.0/16 -o eth0 -j ACCEPT
>>$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 80 -j DROP
>>$IPTABLES -A FORWARD -s 192.168.0.110 -o eth0 -p tcp --dport 443 -j DROP
>>$IPTABLES -A FORWARD -s 192.168.0.0/16 -o eth0 -j ACCEPT
>>$IPTABLES -A FORWARD -s 0/0 -i eth0 -j ACCEPT
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>>
>>Ultima cosa: tu scrivi $IPTABLES: si presume che da qualche parte, prima
>>di queste specifiche, tu abbia un:
>>IPTABLES=iptables
>>
>>
>
>tieni conto pero' che se il .110 si imposta un proxy sul browser passa
>lo stesso.
>
Beh, se amministra lui la rete saprà se esiste un proxy... Dalla
succinta descrizione che ha dato direi che non c'è (sennò non si
preoccuperebbe di chiudere la 80 al client; giusto Luckylu ?)
>La politica corretta sarebbe di impostare la policy per bloccare tutto e
>far passare solo il necessario.
>
>
Beh, sai, stiamo parlando dell'uscita...
Dipende...
Anch'io come te tendo a essere un "chiusista", ma non ne farei una
regola generale...
A.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/primipassi/attachments/20070713/ecd56ebb/attachment.htm>
Maggiori informazioni sulla lista
primipassi