A Dijous 20 Febrer 2003 11:00, Maria Garcia Suarez va escriure: > Que us sembla? Em deixo alguna cosa oberta? Tallo > alguns paquets que hauria d'acceptar?
A la política general jo establiria la política OUTPUT a RETURN per evitar
que se'm quedi un servei propi penjat esperant una resposta que no rebrà mai,
tot i que amb la secció OUTPUT que hi ha al final tampoc és necessari i
ademés et quedarà documentat a la bitàcola. Molt bé!
En aquest punt cal establir -si es vol- les regles de seguretat per al
tràfic en la xarxa. Totes són agafades d'aquí i d'allà pel que caldria mirar
si s'han d'actualitzar:
##############################
#- Variables
IFACE=eth0
IP_LOCAL=Cadascú la seva
LOOPBACK=127.0.0.0/8
#-Valors SYN
LIMIT="1/s"
LIMIT_BURST="4"
## REGLES ##
#(Primer de tot descarregarem al nostre sistema d'una càrrega innecessària)
#
#-Assegurar-se de que les noves conexions tcp són paquets SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix
"Paquet nou no syn:"
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
#
#-Protecció SYN-FLOOD
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit $LIMIT --limit-burst $LIMIT_BURST -j
RETURN
iptables -A syn-flood -j DROP
#
#-Fragmentació
iptables -A INPUT -i $IFACE -f -j LOG --log-level info --log-prefix "FRAG: "
iptables -A INPUT -i $IFACE -f -j DROP
#
#-Spoofing
iptables -A INPUT -i $IFACE -s $IP_LOCAL -j DROP
iptables -A FORWARD -i $IFACE -d $LOOPBACK -j DROP
iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP
iptables -A FORWARD -i $IFACE -d $IP_LOCAL -j DROP
iptables -A INPUT -i $IFACE -d $IP_LOCAL -j DROP
#
#-TCPMSS
#
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
#
iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG
#
#(A partir d'aquí resulta força interessant implementar-se un tallafocs
personalitzat)
#############################
El que m'ha agradat especialment és la primera taula INPUT doncs al meu
tallafocs les tinc especificades per separat per a cada servei obert, tot i
que el RELATED siga necessari en tinc els meus dubtes.
Pel demés que opini algú altre que jo d'entés sols en tinc l'experiència
pròpia i no tinc més xarxa i servidors que els de la Internet.
Toni
--
Sort
######## Antoni Bella Perez #################### |
# http://www.terra.es/personal7/bella5/home.htm
## <[EMAIL PROTECTED]> ## i
col·laborador del projecte Debian en català: debian.org/index.ca.htm
Maquinari: - Pentium II 300MHz 128MB memòria 598.01 bogomips
Sistema: - Debian GNU/Linux-2.4.20 - XFree86 4.2.1-5
-
pgpHuMH9v1IYT.pgp
Description: signature
