[PLUTO-help] IPTABLES

Stefano Callegari ste.callegari a tiscali.it
Gio 13 Maggio 2004 10:13:42 CEST 

Il 13May 09:35, gianni scrisse:
> La mia richiesta nasceva dal fatto di aver osservato che sotto windows, di 
[cut]
> sconosciuti. Comunque, conosciuti o no zonealarm informa che il tal 
> programma cerca di connetrsi e spetta all'utente autorizzare o no la 
> connessione. Sono certo che con Linux nessun programma cercherebbe di 
> connettersi spontaneamente, ma i trjan....

L'avevo capito a cosa ti riferivi nella tua domanda :-)

> Quindi stringi stringi, la mia domanda è: si può con iptables bloccare i 
> tentativi di connessione dal PC verso l'esterno? e se non sipuò, che 

Come ti ho risposto si, a patto che tu riesca a determinare una ben
precisa porta (o range). Visto che i trojan/worms/bug/ecc. su linux
sfruttano delle ben determinate porte (correggetemi), basta che ti
informi e le blocchi. Attento che però queste sono molte volte oltre la
1024^ porta e quindi potrebbe essere che qualche altro protocollo per
caso vada a prenderle per una comunicazione sicura col risultato di
rimanere bloccato (tipo l'ftp).

Il concetto alla base è la diversa filosofia dei due s.o.

Quello che dici tu deve preoccuparsi, non potendolo fare in ingresso
per i noti buchi di sicurezza, che una volta che un estraneo è entrato
almeno non riesca ad uscire (ma intanto è dentro) quindi chiede
l'autorizzazione ad usare il tal programma (ma attento che devi pur
permettere outlook, p.e., e quindi non risolvi granchè).

Quello per cui siamo qui invece mette subito i paletti agli intrusi (da
qui la necessità di ottime regole di INPUT) e successivamente con i
permessi e non ultimo con un continuo e costante controllo di sicurezza
(della Comunità per i bug, tua per l'aggiornamento a questi). Quindi
escludendo ad 99% (il 100% *non* esisterà mai!) l'accesso, non ha molto
senso preoccuparsi di cosa potrebbe uscire.

> utilità ha la catena di OUTPUT per l'uso che si fa di un PC domestico?

Praticamente nessuna (se la macchina è configurata bene). Potrebbe
avere un senso solo se trovi un qualche processo che ti sta proprio
sulle p... (tipo le porte 137, 138 e 139) che vuoi essere sicuro non
propaghino traffico fuori.

> At 09.06 13/05/2004, you wrote:
> >Il 13mag 07:45, gianni scrisse:
> >> E' possibile con iptables scrivere una regola per la catena di OUTPUT che
> >> impedisca l'uscita di qualsiasi pacchetto tranne quelli inviati da un
> >> determinato programma?
> >>
> >
> >No, non credo. iptables si basa sulle porte invece dei programmi.
> >
[cut]

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy

More information about the pluto-help mailing list