[Pluto-security] Controllare le connesioni....

Tom dido@sicurweb.com
Sun, 5 May 2002 23:33:11 +0000


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Grande Beppe! Tu avevi detto che cancellando la regola di state, il gateway 
non naviga + mentre l'altro si... 
Be' secondo me è xche' l'hai applicata solo a INPUT (quindi valida solo per 
quanto diretto effettivamente al gw), e non al forward (catena per la quale 
hai detto che tutto è accettato!hai detto che passa tutto quello da e per 
192.168.10.0/24...). Pensaci un po', vedrai che il pc2 fa tutto! (prova a 
fare una connessione ftp, vedrai che gli è possibile...)
Tom


On Saturday 04 May 2002 15:11, Beppe wrote:
> Alle 17:24, sabato 4 maggio 2002, Tom ha scritto:
> > Per il problema dello state, ci puoi ri-postare (per la
> > 100esima volta, lo so, è colpa mia...) lo script del firewall?
>
> Ciao Tom , non vedo che colpe tu possa avere !!!!
> E' vero mi hai dato una grandissima mano a sviluppare
> il firewall( per non dire che l'hai sviluppato tu), ma l'abbiamo fatto in
> un'ottica SOLAMENTE casalinga.
> Successivamente ho reputato interessante ampliare
> la cosa mettendo in rete un pc e quindi ho via via modificato
> l' FW ( ne ho creati 2 o 3 da utilizzare in diverse situazioni)
> quindi puoi star tranquillo che niente e dovuto a qualche
> tua dimenticanza ( siamo qui per imparare e ragionare).
> Ecco lo script :
> #!/bin/sh
> iptables="/sbin/iptables"
> echo "1" > /proc/sys/net/ipv4/ip_forward
> modprobe ip_tables
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
> modprobe iptable_nat
> modprobe ipt_MASQUERADE
> modprobe ipt_LOG
> modprobe ipt_limit
> # configurazione politica di default per la tabella filter
> iptables -t filter -P INPUT DROP
> iptables -t filter -P OUTPUT ACCEPT
> iptables -t filter -P FORWARD ACCEPT
> # scarta subito pacchetti malformati
> iptables -A INPUT -m unclean -j DROP
> #local loopback
> iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
> # accetto tutte le connessioni correlate alla mia
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> # abilito servizio DNS per protocolli UDP
> iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
> # abilito connesioni web e https e logga i tentativi di
> # connessione su queste porte
> iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state INVALID,NEW -m
> limit --limit 3/minute -j LOG --log-prefix "Unauth.80 --->"
> iptables -t filter -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
> # abilito connessioni SMPT e POP3
> iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
> iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
> # abilito connesioni SSH (SecureShell)
> iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
> # blocco tutti i pacchetti destinati al server X11 e al Xfont Server
> # e Logga i tentativi di connessione su queste porte
> iptables -A INPUT -p tcp -m tcp --dport 6000:6100 -m state --state
> INVALID,NEW -m limit --limit 3/minute -j LOG --log-prefix "Unauth.6000--->"
> iptables -t filter -A INPUT -i ppp0 -p tcp --dport 6000:6010 -j DROP
> iptables -t filter -A INPUT -i ppp0 -p udp --dport 6000:6010 -j DROP
> iptables -t filter -A INPUT -i ppp0 -p tcp --dport 7000:7100 -j DROP
> iptables -t filter -A INPUT -i ppp0 -p udp --dport 7000:7100 -j DROP
> # disabilito pacchetti ICMP di tipo ECHO-REQUEST
> iptables -t filter -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
> # forward sulla rete interna e mascheramento
> iptables -t nat -A POSTROUTING -d ! 192.168.10.0/24 -j MASQUERADE
> iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
> iptables -A FORWARD -d 192.168.10.0/24 -j ACCEPT
> iptables -A FORWARD -j DROP
> iptables -A INPUT -j DROP
>
> Beppe
>
> _______________________________________________
> Pluto-security mailing list
> Pluto-security@lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE81cE3Qe/GGXXd6zQRAhsCAJ9BuS0Svi9P7Un1eaGCK5DYsUjeKACgpa4Z
c4YayUVRe34BupLtK35NCC0=
=ho8H
-----END PGP SIGNATURE-----