[Pluto-security] Controllare le connesioni....

Beppe beppebz@tin.it
Mon, 6 May 2002 14:10:55 +0200


Alle 01:33, lunedì 6 maggio 2002, Tom ha scritto:
> Grande Beppe! Tu avevi detto che cancellando la regola di state, il gateway
> non naviga + mentre l'altro si...
> Be' secondo me è xche' l'hai applicata solo a INPUT (quindi valida solo per
> quanto diretto effettivamente al gw), e non al forward (catena per la quale
> hai detto che tutto è accettato!hai detto che passa tutto quello da e per
> 192.168.10.0/24...). Pensaci un po', vedrai che il pc2 fa tutto! (prova a
> fare una connessione ftp, vedrai che gli è possibile...)
> Tom

Grande !!!
Ora è tutto chiaro. Se ho capito bene, non avendo posto limiti di nessun 
genere alla catena di forward tutto era concesso.

Ho provato a sostituire diverse regole.
Mi sembra di aver notato che la migliore cmq. è quella di usare la regola 
dello state anche sulla catena di FORWARD ????? :

iptables -A FORWARD ( "-i ppp0" ) -m state --state RELATED,ESTABLISHED -j 
ACCEPT 
ed eventualmente filtrare cio' che non voglio concedere tipo connesioni http:

iptables -A FORWARD -p tcp -o ppp0 -s 192.168.10.2 --dport 80 -j DROP
In questa maniera la cosa mi sembra diventi piu' flessibile.Le connesioni http 
del pc 2,
bloccate, e tutte le altre ( ftp, pop3 ecc.. ) purchè collegate a connesioni 
già stabilite sono accettate.
Invece per il traffico interno alla LAN ("-i eth0 o -o eth0") un'altra regola 
che stabilisca tutti i servizi concessi.
Infine DROPPO tutto il resto.

Ciao e grazie
Beppe