[Pluto-security] netfilter e connessioni TCP

Piviul pluto at flanet.org
Thu Mar 27 19:10:35 CET 2003


Ciao a tutti,
grazie a voi della lista, qualche tempo fa ho configurato una box linux
come bridge firewall. Fino ad ora ho utilizzato uno script per il
filtraggio trovato in rete che ho cercato di riadattare e semplificare.
Ora però ho pensato di riscriverlo ex-novo per essere esattamente sicuro
di come funzioni. Vorrei quindi avere un vostro parere (mi sembra troppo
semplice):

---------------------
# di default tutto non passa nulla
$IPTABLES -P FORWARD DROP

# accetto quello che viene dall'esterno solo se proviene da una
richiesta all'interno della LAN
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -i $LAN_IFACE -j ACCEPT

# accetto dall'esterno solo ciò che arriva sulla porta 80 (http) e 21
(ftp)
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -d $INTERNAL_ADDRESS --dport
80 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -d $INTERNAL_ADDRESS --dport
21 -j ACCEPT

---------------------
ovviamente
LAN_IFACE è la scheda di rete connessa alla LAN
INET_IFACE quella connessa ad internet
INTERNAL_ADDRESS è l'IP address del server che espone i servizi http ed
ftp

Grazie mille a tutti quanti vorranno rispondere

Piviul



More information about the pluto-security mailing list