[Pluto-security] problemino iptables
Andrea Dinale
andrea@smev.com
Fri, 31 May 2002 15:49:02 +0200
Alle 15:12, venerd=EC 31 maggio 2002, Tom ha scritto:
> 3 cose: eth1 =E8 quella esterna?=20
si, collegata ad un modem adsl, per la connessione uso PPPOE
>Visto che il fw mi sembra faccia da gw, ci descrivi un po' la =20
> topologia della rete?=20
eth0 =E8 collegata ad un hub al quale =E8 collegata la mia lan, (due pc e=
d=20
un as400), ip di classe c 192.168.0.0\24, i pc usano l'indirizzo di=20
eth0 come gateway.
_________ ___________ ______
| internet |____modem___|eth1 eth0 |_____hub___| lan |
|________| |___________| |______|
FIREWALL
>Non riesci a mandarci anche lo script? Grazie...
per il momento le regole le avevo scritte da linea di comando e le salvo=20
con iptables-save e iptables-restore, lo script l'ho tratto da quello=20
che c'=E8 sull' how to packet filtering di rusty russel.
ecco lo script al quale mi sono ispirato:
# Create chains wich bloks new connections, except if coming from=20
inside.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! eth1 -j ACCEPT
iptables -A block -j DROP
# Jump to that chain from INPUT and Forward chains.
iptables -A INPUT -j block
iptables -A FORWARD -j block
> ># Generated by iptables-save v1.2.5 on Fri May 31 15:03:54 2002
> >*nat
> >
> >:PREROUTING ACCEPT [1267:64576]
> >:POSTROUTING ACCEPT [2:120]
> >:OUTPUT ACCEPT [78:4358]
> >
> >-A POSTROUTING -o ppp0 -j MASQUERADE
> >COMMIT
> ># Completed on Fri May 31 15:03:54 2002
> ># Generated by iptables-save v1.2.5 on Fri May 31 15:03:54 2002
> >*filter
> >
> >:INPUT DROP [0:0]
> >:FORWARD ACCEPT [0:0]
> >:OUTPUT ACCEPT [722:139174]
> >:block - [0:0]
> >
> >-A INPUT -j block
> >-A FORWARD -j block
> >-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
> >-A block -i ! eth1 -m state --state NEW -j ACCEPT
> >-A block -j DROP
> >COMMIT
> ># Completed on Fri May 31 15:03:54 2002