[TiLUG] Firewall con IPTable
mark.century.2000
mark.century.2000@gmail.com
Lun 9 Ott 2006 08:38:38 CEST
2006/10/9, Daniele (Mastro) <daniele.bilug@gmail.com>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> ciao..
>
> presupponendo che iptable funzioni perchè configurata correttamente nel
> kernel ecc ecc...
>
> che cosa consigliate per gestire le regole???
>
> con windows ero abituato ad avere firewall che bene o male ti chiedevano
> di volta in volta cosa volevi permettere e cosa volevi bloccare... qui
> pare le cose siano un po' diverse.. si parla di
> protocolli/indirizzi/porte da accettare rifiutare se non sbaglio
>
Bhè in sostanza è la stessa cosa che si fa con i firewall di windows
accettare o bloccare connessioni, solo che con win con le finestrelle
colorate è più semplice, o per lo meno sembra.
Personalmente ho provato guarddog che è un'ottima interfaccia ad
iptables anche se ora gestisco iptables da riga di comando aggiungendo
o togliendo regole "a mano libera" quando serve.
Per quanto riguarda le guide ti consiglio di farti un giretto con
l'amico google che saprà aiutarti senz'altro.
Riporto un'esempio di uno script di configurazione di iptables preso
dal sito Sistemisti Indipendenti
(http://www.sistemistiindipendenti.org):
#########################
##### rc.firewall
#########################
# eth0= LAN interface
# eth1= NET interface
# 192.168.10.0 = LAN interna
# Abilitiamo il forwarding dei pacchetti tra le interfacce (interna ed esterna)
echo 1 > /proc/sys/net/ipv4/ip_forward
# Cancelliamo tutte le vecchie policy
iptables -F
iptables -t nat -F
iptables -t mangle -F
# apertura di default (reset del firewall)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#Politiche di default tutte a DROP (privilegio minimo)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Viene permesso il traffico stabilito o correlato
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Viene abilitato il forward della rete interna
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
# Viene permesso l'accesso al firewall via ssh dalla rete interna
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
# Impostiamo il MASQUERADING (NAT) per la rete interna
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE
# Abilitiamo iltraffico in uscita dal firewall per DNS ed SSH
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
#########################
Puoi partire da questo e modificarlo per gestire il firewall come
preferisci; per usare questo listato:
creare uno script chiamandolo rc.firewall
copiare al suo interno il listato sopra
assegnare i permessi di esecuzione (chmod +x rc.firewall)
fare in modo che lo script venga lanciato all'avvio possibilmente nel
run level1 (questo su Slackware lo si ottiene posizionando la chiamata
allo script nel file /etc/rc.d/rc.S)
Ad ogni riavvio il sistema chiamerà lo script che imposterà le regole
del firewall.
Saluti
Gianluca
______________________________
mark.century.2000
GNU/Linux Slackware i686
irc.syrolnet.org #slackware
fermiamo il tcpa: http://www.no1984.org
Maggiori informazioni sulla lista
Tilug