Repository 32bit  Forum
Repository 64bit  Wiki

Creare un firewall

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Re: Creare un firewall

Messaggioda albatross » mar feb 08, 2011 14:09

Se si tratta di una postazione normale che deve poter fare traffico in uscita verso tutto ti consiglio questa configuazione

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

in questo modo permetti al pc di aprire tutte le porte verso l'esterno e permetti l'ingresso ai soli pacchetti che sono le risposte alle sessioni che hanno avuto origine dal tuo host.
Nella configurazione che hai fatto tu scarti tutti i pacchetti indirizzate verso le porte dei servizi noti (0-1023) ma lasci aperte tutto le altre fino a 64k
Nella parte sotto invece scarti i pacchett con flag SYN (ovvero tutti i pacchetti che cercano di stabilire una connession con il tuo host dall'esterno) lasciando però le porte esposte ad attacchi tramite flag FIN o ACK (vedi ad esempio FIN scan tramite nmap)

Se poi vuoi fare le cose per bene pui impostare il default per OUTPUT a DROP
e specificare le porte autorizzate in uscita con ...
iptables -A OUTPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
quello sopra vale per la navigazione internet
le altre porte "minime" da aprire sono
53 UDP/TCP --> DNS
443 TCP --> HTTPS
albatross
Linux 1.0
Linux 1.0
 
Messaggi: 97
Iscritto il: lun ott 20, 2003 23:00

Precedente

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Exabot [Bot] e 1 ospite