[Pluto-security] Pareri sul mio script firewall

Andrea Dinale andrea at dinale.it
Thu Mar 13 15:54:08 CET 2003 

Il gio, 2003-03-13 alle 14:33, Fabio Panigatti ha scritto:

> -----------------------------
> $IPTABLES -A INPUT -i $EXTINF -m state --state NEW -j LOG --log-prefix *__NEW__*
> $IPTABLES -A FORWARD -i $EXTINF -m state --state NEW -j LOG --log-prefix
> *FORWARD*
> 
> Queste, secondo me, ti creano un sacco di falsi positivi. Perche' vuoi loggare
> le nuove connessioni?

perchè sono dietro ad un router che fa nat, quindi non ricevo quasi mai
conessioni nuove direttamente, al massimo la ritrasmissione di qualche
FIN, ma se bucano il router (che non dovrebbe essere difficile) e
provano ad entrae almeno me ne accorgo (forse!). Il router non lo posso
tocare perchè è di telecom.

> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> Questa mi sembra che non abbia senso, se non offri servizi residenti
> sul firewall. Al limite le related, se vuoi usare ftp attivo dal
> firewall. Inoltre l'hai ripetuta due volte in due punti diversi e senza
> indicare uan interfaccia a cui applicarla.

ci sono dei servizi, smtp pop ed imap

> $IPTABLES -A INPUT -i $EXTINF -p tcp --dport 25 -j ACCEPT
> 
> Aaahhhghh... ma non avrai mica un server smtp pubblico sul firewall?

purtroppo si, (cmq non è stata un'idea mia)

> Secondo me e' una complicazione gestire troppe regole in OUTPUT per un firewall,
> anche se il tuo offre anche servizi

vedrò di semplificare! 

> ################################################################################
> ### Regolamentazione di LAN ---> LOCAL                                         #
> ################################################################################
> 
> Il firewall fa anche da server ftp, mail, dns, web, pop, news e imap per la
> rete interna?

smtp pop imap. il resto lo faceva una volta, ora si possono togliere
(non ci avevo pensato)

> ################################################################################
> ### Regolamentazione interfaccia amministativa                                 #
> ################################################################################
> 
> Dove'e questa interfaccia amministrativa?
> -----------------------------

è un'altra interfeccia sul server/firewall che non è usata, e può tornre
utile visto che il monitor è condiviso con un'altro server (per
questioni di spazio). Se ci sono dei problemi, mi 'attacco' con un cavo
cross e posso avere una console.

> Sbaglio tanto tanto azzardando l'ipotesi che questo sia stato adattato da uno
> script per ipchains? O con ipchains in testa? A mio parere c'e troppa
> complessita'nella gestione di OUTPUT e mi sembra d'aver cisto un po' troppe
> regole established,related (ma neanche una new). Forse c'e' anche troppo poco
> egress filtering da LAN a OUT: i tuoi utenti possono usare kazaa, scaricare
> posta da qualsiasi server pop3, un eventuale worm puo' inviare posta ovunque...
> puoi almeno pensare di non fare il forward di 80/tcp e 443/tcp ma  mettere un
> proxy. Si puo' fare anche per altri protocolli, eliminando del tutto il forward
> LAN -> OUT.

No, non deriva da ipchains, ma da uno script di iptables riadattato
tante volte e soprattutto da persone diverse, oggi l'ho solo messo in
ordine ed aggiunto un po' di commenti, grazie alle tue info
(preziosissime) e a quelle di chi risponderà vedrò di sistemarlo meglio.

Grazie
Andrea

More information about the pluto-security mailing list