Firewall di Linux Pratico

[Trotto@81]

Su linux pratico in un articolo ho trovato queste regole base per un firewall uso casalingo. Ottimo articolo per iniziare da zero per uno come me, e bene o male ci sto già capendo qualcosa!! Come lo trovate?? Vorrei vostri consigli. Anche se a me per default mi piace impostare le policy della chain a DROP e poi aprire le porte strettamente necessarie!!

Codice: Seleziona tutto

#!/bin/bash
IPTABLES="/usr/sbin/iptables"

#Svuoto la tabella delle regole già esistenti
$IPTABLES -F

#Inserimento nella regola INPUT lo --state INVALID per connessioni non esistenti e NEW per tentativi di connessioni dall'esterno.
$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP

#Questa regola permette a computer esterni di effettuare solo operazioni di ping verso la Linux Box.
#$IPTABLES -I INPUT -p icmp -i ppp0 -s 0/0 --icmp-type echo-request -j ACCEPT

#Inserimento nella regola INPUT degli --state INVALID e NEW ma per i pacchetti icmp.
$IPTABLES -I INPUT -p icmp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa regola blocca tutto il traffico udp non richiesto diretto verso la Linux Box.
$IPTABLES -I INPUT -p udp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte tcp assegnate.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa regola blocca qualsiasi traffico verso qualsiasi destinazione.
$IPTABLES -A OUTPUT -s 0/0 -j DROP

[Sawk]

ci sono almeno 20 post nell'ultimo tempo che parlano di firewalling......se cerchi nel forum se ne trovano una marea

[Bart]

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.

[Trotto@81]

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.

Per il resto può andare??

[sreview]

trotto ma non potevi postare in sicurezza?

[Paoletta]

trotto ma non potevi postare in sicurezza?

ho provveduto...
comunque maca la gestione delle policy di default; le mie sono queste:

Codice: Seleziona tutto

iptables -P FORWARD DROP
iptables -P INPUT DROP


OUTPUT la lascio tranquillamente su ACCEPT... se usi queste due regole poi è inutile che chiudi di nuovo così:

Codice: Seleziona tutto

$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP

devi solo specificare quali porte lasciare aperte;
ciao!

[MDS]

Ho letto quell'articolo e trovo la configurazione un po' prolissa.
Va bene a scopi didattici.... però la sacra regola di Rusty Russel....
"Established Related".

Guarda qui come l'howto ufficiale se la cava e ottiene gli stessi risultati di Linux Pratico.
http://www.netfilter.org/documentation/ ... WTO-5.html

Stimo molto le riviste della Piscopo "Linux & C., Linux Pratico, Hackers & C.".
Anche su Hackers e C. veniva data la soluzione di Rusty Russel.

Insomma, non mi piace molto la soluzione proposta da Linux Pratico.

Ciao

[Outspan]

Firewalls... ma ce n'è davvero bisogno? =)

[Outspan]

Firewalls... ma ce n'è davvero bisogno? =)