[Pluto-security] Iptables Logs

Dido dido@sicurweb.com
Tue, 24 Sep 2002 17:31:20 +0200 

>Per startare/stoppare iptables dovresti ricorrere agli script di=20
>inizializzazione (contenuti nella directory /etc/rc.d/rcx.d/ ) avendo cura=
=20
>di inizializzare iptables prima della rete onde evitare "buchi" di=
 sicurezza

Se posso dire la mia, io ritengo sia meglio scriversi il proprio script...=
=20
Infatti, quelli contenuti in rc.x sfruttano la funzione iptables-save e=20
iptables-restore, che generano file di configurazione in cui poi non =E8=20
facile mettere mano in caso tu necessiti di modificare qualcosa..
Se invece ti scrivi il tuo script, lo modifichi come ti pare (ovviamenet,=20
la prima regola dello script deve essere quella di cancellare tutte le=20
regole pre-esistenti!). Vi posto l'inizio del mio...

#!/bin/bash
echo "65535" > /proc/sys/fs/file-max
echo 0 >/proc/sys/net/ipv4/ip_forward
modprobe ipt_multiport
modprobe ip_conntrack_ftp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

IPTABLES=3D/usr/sbin/iptables

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -N web
$IPTABLES -N block
#$IPTABLES -N logging
ecc..e per ultimo

echo 1 >/proc/sys/net/ipv4/ip_forward

Poi lo richiamo da uno script di bash /etc/init.d/firewall, tipo:
#!/bin/bash
#
# Script per attivare i servizi di firewalling
#
# chkconfig: 2345 11 89
#
# description: Attiva e disattiva il frewall
#
#
. /etc/init.d/functions

INT_IF=3Deth1
EXT_IF=3Deth0

SCRIPT=3D/scripts/firewall
IPTABLES=3D/usr/sbin/iptables

case "$1" in
  start)
        # Verifico che esista lo script per il fw
        if [ ! -e $SCRIPT ] ; then
         echo "Can't find firewall script.... Be worried!";
         exit 1;
        fi;
        echo -n $"Applying firewall rules:"
        $SCRIPT
        success $"Applying firewall rules:" ||\
        failure $"Applying firewall rules:"
        echo
        ;;
  stop)
        echo -n $"Resetting firewall policy to ACCEPT:"
        $IPTABLES -P INPUT ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT ACCEPT
        $IPTABLES -F
        $IPTABLES -t nat -F
        $IPTABLES -X
        success $"Resetting firewall policy to ACCEPT:" ||\
        failure $"Resetting firewall policy to ACCEPT:"
        echo
        ;;
  panic)
        $IPTABLES -F
        $IPTABLES -t nat -F
        $IPTABLES -X
        ;;
  status)
        $IPTABLES -nL |more
        $IPTABLES -t nat -nL |more
        ;;
  *)
         echo $"Usage: $0 {start|stop|status|panic}"
         exit 1
esac
exit 0

Ecco, spero serva...
Dido