On Wed, 22 Dec 2004 19:10:23 +0100 automatic_jack <[EMAIL PROTECTED]> wrote:
> Ciao, > > Vi ripropongo in maniera un po' differente una vecchia curiosità... > > Ha senso impostare per iptables la policy DROP per la catena di INPUT > (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per > quella OUTPUT, permettendo in quest' ultima che passi solo il traffico > desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)? > > La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi > garantisce già una buona protezione in INPUT (supero brillantemente i > vari test on line) e per il quale ho disabilitato la gestione da > Internet > > Vi sono soluzioni migliori? > > > Grazie :) L' idea è di far qualcosa di simile a quanto riportato di seguito...per ora l' ho messo su e non ho riscontrato alcun problema nell' uso normale, ma ogni suggerimento è davvero ben accetto :) Mi scuso sin d' ora per i contenuti e l' impaginazione :( #! /bin/sh #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene dalle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix "Bloccato " #Abilita l' interfaccia di loopback in input iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT #Abilita le connessioni established e related iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Catena di OUTPUT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix "Bloccato " # Abilita l' interfaccia di loopback in output iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT #Abilita il dns iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53 -j ACCEPT #Abilita ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports 21,25,80,110,119,443 -j ACCEPT