[PLUTO-help] IPTABLES

Tom "Dido" tom a pluto.it
Gio 13 Maggio 2004 09:42:37 CEST 

Se tu metti come prima regola
iptables -P OUTPUT DROP

non esce nulla se non espressamente autorizzato! E questo, secondo me,
dovrebbe essere impostato _sempre_; è scomodo, mi rendo conto, ma ha una
marea di pregi:
- se sei stato bucato, te ne accorgi guardando i log del firewall (se
hai impostato di loggare)
- se hai preso un worm, non fai danni in giro (e legalmetne è comodo
tutelarsi...)
- dovendo aprire a mano le porte utilizzate dai singoli applicativi,
capisci meglio quello che fanno.

In ogni caso, con 
netstat -apn
capisci quale programma apre quale porta.

Spero di esserti stato di aiuto

Dido


On Thu, 2004-05-13 at 09:35, gianni wrote:
> La mia richiesta nasceva dal fatto di aver osservato che sotto windows, di 
> tanto in tanto,
> qualche programma tenta di collegarsi a internet. a volte sono peogrammi 
> conosciuti (es. Acrobat) a volte invece sono dei .EXE completamente 
> sconosciuti. Comunque, conosciuti o no zonealarm informa che il tal 
> programma cerca di connetrsi e spetta all'utente autorizzare o no la 
> connessione. Sono certo che con Linux nessun programma cercherebbe di 
> connettersi spontaneamente, ma i trjan....
> Quindi stringi stringi, la mia domanda è: si può con iptables bloccare i 
> tentativi di connessione dal PC verso l'esterno? e se non sipuò, che 
> utilità ha la catena di OUTPUT per l'uso che si fa di un PC domestico?
> 
> gianni
> 
> At 09.06 13/05/2004, you wrote:
> >Il 13mag 07:45, gianni scrisse:
> > > E' possibile con iptables scrivere una regola per la catena di OUTPUT che
> > > impedisca l'uscita di qualsiasi pacchetto tranne quelli inviati da un
> > > determinato programma?
> > >
> >
> >No, non credo. iptables si basa sulle porte invece dei programmi.
> >
> >Se il programma da un output su una determinata porta allora si.
> >
> >Ricordati che comunque linux ha tutta una serie di regole sui permessi
> >per eseguire/installare programmi quindi è sufficiente che all'utente
> >dai i permessi esclusivamente per quel programma (per quella tipologia
> >di applicativi) per permettergli di uscire solo con quello.
> >
> >Ciao
> >--
> >Stefano Callegari
> >LinuxRegistered: User 248729 - Machine 133534
> >Via Frassanedo 2 - Saonara (PD) - Italy
> >_______________________________________________
> >pluto-help mailing list
> >pluto-help a lists.pluto.it
> >http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-help
> 
> 
> _______________________________________________
> pluto-help mailing list
> pluto-help a lists.pluto.it
> http://lists.pluto.it/cgi-bin/mailman/listinfo/pluto-help

More information about the pluto-help mailing list