[Pluto-security] Controllare le connesioni....
Beppe
beppebz@tin.it
Sat, 4 May 2002 17:11:33 +0200
Alle 17:24, sabato 4 maggio 2002, Tom ha scritto:
> Per il problema dello state, ci puoi ri-postare (per la
> 100esima volta, lo so, è colpa mia...) lo script del firewall?
Ciao Tom , non vedo che colpe tu possa avere !!!!
E' vero mi hai dato una grandissima mano a sviluppare
il firewall( per non dire che l'hai sviluppato tu), ma l'abbiamo fatto in
un'ottica SOLAMENTE casalinga.
Successivamente ho reputato interessante ampliare
la cosa mettendo in rete un pc e quindi ho via via modificato
l' FW ( ne ho creati 2 o 3 da utilizzare in diverse situazioni)
quindi puoi star tranquillo che niente e dovuto a qualche
tua dimenticanza ( siamo qui per imparare e ragionare).
Ecco lo script :
#!/bin/sh
iptables="/sbin/iptables"
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ipt_limit
# configurazione politica di default per la tabella filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# scarta subito pacchetti malformati
iptables -A INPUT -m unclean -j DROP
#local loopback
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
# accetto tutte le connessioni correlate alla mia
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# abilito servizio DNS per protocolli UDP
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# abilito connesioni web e https e logga i tentativi di
# connessione su queste porte
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state INVALID,NEW -m
limit --limit 3/minute -j LOG --log-prefix "Unauth.80 --->"
iptables -t filter -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# abilito connessioni SMPT e POP3
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
# abilito connesioni SSH (SecureShell)
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# blocco tutti i pacchetti destinati al server X11 e al Xfont Server
# e Logga i tentativi di connessione su queste porte
iptables -A INPUT -p tcp -m tcp --dport 6000:6100 -m state --state INVALID,NEW
-m limit --limit 3/minute -j LOG --log-prefix "Unauth.6000--->"
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 6000:6010 -j DROP
iptables -t filter -A INPUT -i ppp0 -p udp --dport 6000:6010 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 7000:7100 -j DROP
iptables -t filter -A INPUT -i ppp0 -p udp --dport 7000:7100 -j DROP
# disabilito pacchetti ICMP di tipo ECHO-REQUEST
iptables -t filter -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
# forward sulla rete interna e mascheramento
iptables -t nat -A POSTROUTING -d ! 192.168.10.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
Beppe