[Pluto-security] Pareri sul mio script firewall

Fabio Panigatti ml-panigatti at minerprint.it
Thu Mar 13 14:33:43 CET 2003 

Scusa, l'ho letto solo un po' velocemente e magari ho fatto commenti fuori
luogo.

-----------------------------
$IPTABLES -A INPUT -i $EXTINF -m state --state NEW -j LOG --log-prefix *__NEW__*
$IPTABLES -A FORWARD -i $EXTINF -m state --state NEW -j LOG --log-prefix
*FORWARD*

Queste, secondo me, ti creano un sacco di falsi positivi. Perche' vuoi loggare
le nuove connessioni?
-----------------------------
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Hai messo due volte questa riga.
-----------------------------
   # Nego il forward dall'esterno all'interno
$IPTABLES -A FORWARD -o $INTINF -j DROP
$IPTABLES -A FORWARD -o $EXTINF -j DROP

La seconda riguarda traffico LAN ---> OUT. Secondo me dovresti indicare anche
l'interfaccia di input.
-----------------------------
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Questa mi sembra che non abbia senso, se non offri servizi residenti
sul firewall. Al limite le related, se vuoi usare ftp attivo dal
firewall. Inoltre l'hai ripetuta due volte in due punti diversi e senza
indicare uan interfaccia a cui applicarla.
-----------------------------
$IPTABLES -A INPUT -i $EXTINF -p tcp --dport 25 -j ACCEPT

Aaahhhghh... ma non avrai mica un server smtp pubblico sul firewall?
-----------------------------
################################################################################
### Regolamentazione traffico LOCAL ---> OUT                                   #
################################################################################

Secondo me e' una complicazione gestire troppe regole in OUTPUT per un firewall,
anche se il tuo offre anche servizi
-----------------------------
################################################################################
### Regolamentazione traffico LOCAL ---> LAN                                   #
################################################################################




Idem. Tra l'altro non capisco come mai sia cosi' restrittivo per questa eth.
-----------------------------
################################################################################
### Regolamentazione di LAN ---> LOCAL                                         #
################################################################################

Il firewall fa anche da server ftp, mail, dns, web, pop, news e imap per la
rete interna?
-----------------------------
################################################################################
### Regolamentazione interfaccia amministativa                                 #
################################################################################

Dove'e questa interfaccia amministrativa?
-----------------------------

Sbaglio tanto tanto azzardando l'ipotesi che questo sia stato adattato da uno
script per ipchains? O con ipchains in testa? A mio parere c'e troppa
complessita'nella gestione di OUTPUT e mi sembra d'aver cisto un po' troppe
regole established,related (ma neanche una new). Forse c'e' anche troppo poco
egress filtering da LAN a OUT: i tuoi utenti possono usare kazaa, scaricare
posta da qualsiasi server pop3, un eventuale worm puo' inviare posta ovunque...
puoi almeno pensare di non fare il forward di 80/tcp e 443/tcp ma  mettere un
proxy. Si puo' fare anche per altri protocolli, eliminando del tutto il forward
LAN -> OUT.


Fabio

More information about the pluto-security mailing list