[Pluto-security] (R)ex : PLUTO firewall.. [catena di S.Tux]

Fri Mar 14 19:09:47 CET 2003

> # =====================================================================
> # PLUTO FIREWALL [SUPERSERVER - SUPERSAYAN!!!]
> # =====================================================================
> # Vivo nella mia Shell.. :o)
> #
> #Politiche di default?
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD DROP

#<Faberk>
#Potrebbe servire aggiungere eventuali moduli che ci servono, all'inizio.
#Tipo:
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#</Faberk>

> # Periferiche fidate?
> IFINTERNA=eth0
>
> # Ad esempio io ho un modem..
> # Se avessimo una seconda sheda di rete, ci riferiamo ad essa come [eth1 -
> # eth2 - ethx] Il '+' finale implica la 'x' che abbiamo appena espresso..
> IFESTERNT=ppp+
>
> # Me stesso:
> MYSELF="127.0.0.1/32"
>
> # Me nella rete?
> ME="192.168.0.1/32"
>
> # Per esempio.. la gestione delle connessioni presenti?
> # Come le gestisco? Ad esempio le droppo o le mantengo?
> iptables..
>
>
> # Se devo commentare questo, rileggi il manuale.. :o
> iptables -A INPUT -i $MYSELF -j ACCEPT
> iptables -A INPUT -i $IFINTERNA -j ACCEPT
> iptables -A INPUT -i $IFESTERNA -j DROP
>
>
> # Adesso la gestione delle chiamate input..
> # Qualcuno mi aiuta?
>
> # Ad esempio ZERO e' un server telnet [solo per la mia LAN pero'..]
> iptables -A INPUT -p tcp --destination-port 23 -j ACCEPT
>
> # <Beppe>
>
> # l'accesso è autorizzato ai soli `host' in LAN
> iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 23 -j ACCEPT

#<Faberk>
#Magari si potrebbe aggiungere quì, uno o più indirizzi IP "fidati" dai
quali ci torna utile connetterci quando lontani.
iptables -A INPUT -p tcp -i eth0 -s 111.222.333.444 --dport 23 -j ACCEPT
#[Please...correggete e scusate eventuali Bojate!!!]
#</Faberk>

> # oppure... a quel paese tutti quelli che `non' fanno
> # parte della nostra LAN [DROP o REJECT a scelta.. :o) ]
> #iptables -A INPUT -p tcp -i eth0 -s ! 192.168.0.0/24 --dport 23 -j REJECT
> #iptables -A INPUT -p tcp -i eth0 -s ! 192.168.0.0/24 --dport 23 -j DROP
>
> #[commentato in quanto negare l'accesso alla propria LAN e' da furboni
:o) ]
> #[ma e' comunque utile per vedere come usare le regole iptables.. -- scusa
Beppe,]
> #[me e' per sicurezza. Con i furbi che ci sono in giro, non mi
meraviglierebbe ricevere]
> #[un post con su scritto : "NON MI FUNZIONA LA LAN!!!" -- :o) ]
>
> # </Beppe>
>
>
> # [continua..]
> # [grazie a te.. :o) ]
>
>
>
>
> # [mancano tante cose, continuiamo ad espandere questo testo? ogniuno ci
> # [aggiunge un pezzo e il commento, e circa per la settimana prossima lo
> # [so, sono un esagerato.. ;o) abbiam fatto quello che volevamo.. tutti
> # [insieme.. :o)
> # [ovviemente quello che si inserisce, mica deve essere nell'ordine, ho
> # [lasciato un sacco di spazio proprio per quello.. :o)