[PLUTO-help] Re: Problema firewall
Luka Adesso
ladesso a email.it
Sab 5 Giu 2004 23:07:23 CEST
On Saturday 05 June 2004 21:23, Gianluca Di Carlo wrote:
> Ecco lo script che configura il firewall:
[Cut]
> Questo script viene lanciato al boot avendo messo chkconfig --add iptables
> che richiama lo script di cui sopra
praticamente lo script azzera iptables quindi non fa per niente da firewall.
> Quindi anche se il firewall non fa praticamente nulla devo aggiungere il
> nat?
Sure. Il masquerade serve per uscire su internet da un ip con un ip privato. I
tuoi client hanno ip privati (192.168.0.x) che su internet non vengono
riconosciuti. Se attivi il masquerade il firewall riceve la richiesta per
vedere una pagina e usa il proprio ip pubblico per farsela dare, rigirandola
poi a chi ne ha fatto richiesta.
Invece del masquerade puoi usre SNAT o DNAT, ma sono piu' scomodi (almeno per
me)
Aggiungi la regola che ti ho detto prima.
Altrimenti prova questo script:
rc.firewall
#|/bin/sh
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# Flusho le catene
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
## Crea una catena che blocchi le nuove connessioni, eccetto quelle
provenienti dall'interno.
iptables -N block
# Accetto tutte le connessioni iniziate dall'interno della LAN.
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# Loggo tutti i pacchetti 'cattivi' da ppp0
iptables -A block -i ppp0 -m limit -j LOG --log-prefix "Bad from ppp0:"
iptables -A block -i ! ppp0 -m limit -j LOG --log-prefix "Bad not from ppp0:"
iptables -A block -j DROP
## Dalle catene INPUT e FORWARD salta a questa catena
iptables -A INPUT -j block
iptables -A FORWARD -j block
# Attivo il masquerade per la rete
iptables -t nat -A POSTROUTING -j MASQUERADE
Sostituisci ppp0 con il tuo device collegato ad intenet. Questo script blocca
tutto in ingresso tranne le connessioni create da dentro. Se devi aprire
delle porte usa:
# Apro le porte per DC
iptables -A block -p tcp --dport 9176 -j ACCEPT
iptables -A block -p udp --dport 9176 -j ACCEPT
--
2TN
Luca Adesso
More information about the pluto-help
mailing list