[Pluto-security] .conf funzionante
Tommy
dido@sicurweb.com
Sat, 20 Apr 2002 10:51:30 +0000
Ciao! Scusa se rispondo solo ora...Poco tempo...
> # Drop syn packet, allow tracked connection
> iptables -A FORWARD -i eth0 -p tcp --syn -d 192.168.1.0/24 -j LOG
> iptables -A FORWARD -i eth0 -p tcp --syn -d 192.168.1.0/24 -j DROP
> iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.0/24 --dport 1024:65535 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
buono! le connessioni alla porta 20 dell'ftp però cosi' non dovrebbero
funzionare....
> # UDP/DNS
> # Allow udp packet from server
> iptables -A FORWARD -i eth0 -p udp -s 151.99.250.2 -j ACCEPT
> iptables -A FORWARD -i eth0 -p udp -s 94.243.154.62 -j ACCEPT
> # Allow udp request to server
> iptables -A FORWARD -o eth0 -p udp -d 151.99.250.2 -j ACCEPT
> iptables -A FORWARD -o eth0 -p udp -d 94.243.154.62 -j ACCEPT
Su questa non sono molto d'accordo...io solitamente esplicito solo la porta di
destinazione (53), e non l'ip del server dns...Io personalmente modificherei
le regole di conntracking, e aggiungerei anche la porta 53. Poi direi che
permetti il traffico in uscita, verso la 53. Così risolvi anche se hai delle
query su dns differenti.
Per il resto, vedo che usi in tutte le regole il connection tracking...
Facci sapere se va, e specialmente facci sapere quanto sovraccarica la
macchina (il controllo dello stato su ogni singola regole è certamente +
pesante di una regola iniziale che consente RELATED,ESTABLISHED..
Tom