[PLUTO-help] Problema serio con iptables
Luigi
adnusielog4 a rmsud.esercito.difesa.it
Gio 8 Apr 2004 14:15:48 CEST
Allora, nell'ultima riga ho tolto la destinazione. Hai ragione, nell'INPUT
è superfluo indicare l'ip della macchina. Poi ho eliminato le righe di RH,
tranne quella di "-i lo".
La configurazione adesso è questa, e sembra funzionare:
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p TCP -s 10.23.112.251 --dport 22 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 80 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 443 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 5222 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 5223 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 8000 -j ACCEPT
-A INPUT -p TCP -s 10.23.112.0/24 --dport 21 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
COMMIT
Ho solo un dubbio su questa riga:
-A INPUT -i lo -j ACCEPT
è sicuro che consente solo l'accesso di loopback?
Grazie
Luigi
At 14.20 08-04-2004, you wrote:
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
>
>On Thursday 08 April 2004 09:17, Luigi wrote:
> > Le righe con RH-Lookit ... sono inserite direttamente dalla casa madre.
> > Eliminandole, non parte più X (ho già provato eh eh)
> > La riga con ESTABLISHED, RELATED serve per consentire il transito dei
> > pacchetti di ritorno ad una determinata richiesta. Altrimenti, per la
> > policy di default, non potrebbe entrare alcun pacchetto.
> > Ciao
> > Luigi
> >
>
>se le elimini tutte quelle con RH-Lookit ènormale che ti si inchiodi X,
>infatti X lavora come client server sul device di loopback (lo)
>
>- -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
>
>questa regola infatti non va tolta.
>
>queste regole
>- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
>- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
>- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
>- -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
>
>invece permettono di accedere a chiunque ai seguenti servizi dall'esterno (io
>ordine) smtp, http, ftp, ssh
>
>se il server funziona solo come webserver, tutte le altre son solo
>vulnerabilità extra, quindi fossi in te le bloccherei le porte, soprattutto
>ssh e smtp (che se mal configurato, ti trasformano il server mail in un coso
>di spam).
>
>non comprendo tutt'ora questa regola..
>- -A INPUT -d 10.23.112.3 -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>in un INPUT la destinazione è sempre il server, a che ti serve dire che la
>destinazione è un altro ip? di solito una cosa del genere la si fa con il
>FORWARD, boh non ne trovo l'utilità qua. al max una regola del genere è utile
>nell OUTPUT ma qua hai messo come policy ACCEPT, quindi inutile pure lì.
>
>magari mi son rincoglionito io e non ho ben capito la situazione....
>
>
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v1.2.4 (GNU/Linux)
>
>iD8DBQFAdUOHbhDCe7LskGYRAo8wAJwOL60qIBn/r2/YRlRa8sc6GBhdOQCeK9LH
>9NNdY35VRYmCn52AT6e6Qyo=
>=oi72
>-----END PGP SIGNATURE-----
>_______________________________________________
>pluto-help mailing list
>pluto-help a lists.pluto.it
>http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-help
More information about the pluto-help
mailing list