Ciao a tutti della lista.... Avrei una curiosità riguardo a delle regole di iptables che ho letto su un manuale: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT A prima vista mi sono sembrate delle buone regole "ovviamente per le mie conoscenze" nel impostare il drop sulle catene di input e forward, l'accept sull'output e caricare il modulo state per effettuare il tracciamento delle connessioni.. L'unica cosa è che applicando tali regole mi trovavo con il wm completamente bloccato..... Ho risolto il problema aggiungendo la regola: iptables -A INPUT -s 127.0.0.1 -j ACCEPT pensando che le regole precedenti non mi permettessero le connessioni locali... Secondo il vostro parere, queste regole, sono sufficientemente buone per un utilizzo desktop?Oppure nel caso non lo fossero, come potrei modificarle? Colgo l'occasione per postarvi degli script da me fatti per gestire alcuni parametri della rete...spero che vi possano essere d'aiuto:
1)firewall
#!/bin/bash
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2)netcustom(richiede zenity)
#!/bin/bash
#script per la gestione temporanea dei parametri principali di rete
opt=""
tmb=""
iht=""
ilt=""
it=""
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
function tcp_max_backlog(){
tmb=$(zenity --entry --text="Set new value for the TcpMaxBacklog
(default=1024)")
echo ${tmb} > /proc/sys/net/ipv4/tcp_max_syn_backlog
return
}
function ipfrag_high_thresh(){
iht=$(zenity --entry --text="Set new value for the IpfragHighThreshold
(default=262144)")
echo ${iht} > /proc/sys/net/ipv4/ipfrag_high_thresh
return
}
function ipfrag_low_thresh(){
ilt=$(zenity --entry --text="Set new value for the IpfragLowThreshold
(default=196608)")
echo ${ilt} > /proc/sys/net/ipv4/ipfrag_low_thresh
return
}
function ipfrag_time(){
it=$(zenity --entry --text="Set new value for the IpfragTime (default=30)")
echo ${it} > /proc/sys/net/ipv4/ipfrag_time
return
}
function rp_filter(){
for a in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $a
done
return
}
function get_options(){
opt=$(zenity --width=400 --height=600 --list --checklist --separator=""
--text="Opzioni" --column=Scelta --column=Opzioni --column=Lettera_Operazione
0 enable_icmp_echo_ignore_all a 1 disable_icmp_echo_ignore_broadcasts b 2
enable_icmp_errors_use_inbound_ifaddr c 3
disable_icmp_ignore_bogus_error_responses d 4 enable_ip_forward e 5
enable_tcp_ecn f 6 enable_tcp_syncookies g 7 change_tcp_max_syn_backlog h 8
change_ipfrag_high_thresh i 9 change_ipfrag_low_thresh l 10
change_ipfrag_time m 11 disable_accept_redirects n 12
enable_accept_source_route o 13 enable_log_martians p 14 enable_mc_forwarding
q 15 enable_rp_filter r 16 disable_secure_redirects s 17
disable_send_redirects t 18 enable_iptables_firewall
u --hide-column=3 --print-column=3)
return
}
get_options
if [[ $(echo $opt | grep "a") ]];then echo 1
> /proc/sys/net/ipv4/icmp_echo_ignore_all ; fi
if [[ $(echo $opt | grep "b") ]];then echo 0
> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ; fi
if [[ $(echo $opt | grep "c") ]];then echo 1
> /proc/sys/net/ipv4/icmp_errors_use_inbound_ifaddr ; fi
if [[ $(echo $opt | grep "d") ]];then echo 0
> /proc/sys/net/ipv4icmp_ignore_bogus_error_responses ; fi
if [[ $(echo $opt | grep "e") ]];then echo 1 > /proc/sys/net/ipv4/ip_forward ;
fi
if [[ $(echo $opt | grep "f") ]];then echo 1 > /proc/sys/net/ipv4/tcp_ecn ; fi
if [[ $(echo $opt | grep "g") ]];then echo 1
> /proc/sys/net/ipv4/tcp_syncookies ; fi
if [[ $(echo $opt | grep "h") ]];then tcp_max_backlog ; fi
if [[ $(echo $opt | grep "i") ]];then ipfrag_high_thresh ; fi
if [[ $(echo $opt | grep "l") ]];then ipfrag_low_thresh ; fi
if [[ $(echo $opt | grep "m") ]];then ipfrag_time ; fi
if [[ $(echo $opt | grep "n") ]];then echo 0
> /proc/sys/net/ipv4/conf/all/accept_redirects ; fi
if [[ $(echo $opt | grep "o") ]];then echo 1
> /proc/sys/net/ipv4/conf/all/accept_source_route ; fi
if [[ $(echo $opt | grep "p") ]];then echo 1
> /proc/sys/net/ipv4/conf/all/log_martians ; fi
if [[ $(echo $opt | grep "q") ]];then echo 1
> /proc/sys/net/ipv4/conf/all/mc_forwarding ; fi
if [[ $(echo $opt | grep "r") ]];then rp_filter ; fi
if [[ $(echo $opt | grep "s") ]];then echo 0
> /proc/sys/net/ipv4/conf/all/secure_redirects ; fi
if [[ $(echo $opt | grep "t") ]];then echo 0
> /proc/sys/net/ipv4/conf/all/send_redirects ; fi
if [[ $(echo $opt | grep "u") ]];then firewall ; fi
Ciao a tutti e grazie in anticipo
signature.asc
Description: This is a digitally signed message part.
