(R)e: [PLUTO-security] Problema firewall
Rex Sanna
77512746 at tiscali.it
Fri May 16 17:39:41 CEST 2003
De : " [PLUTO-security] (R)e: Problema firewall "
# > Se non che non ho notato il controllo sulle connessioni RELATED,ESTABLISHED..
# Immagino che il firewall postato non sia lo script completo (altrimenti
# ne manca, di roba!!!)
Gia'..
ma io e te lo sappiamo.. ;o)
# > # (ovviamente, a questo punto la regola diventa doppia:
# > # # Blocca tentativi di IP spoofing
# > # #
# > # $IPTABLES -A INPUT -i $INTERFACE -s $LOCALPC1 -j errore1
# > # $IPTABLES -A INPUT -i $INTERFACE -s $LOCALPC2 -j errore1
# > #
# > Beh, a questo punto, perche' non ottimizzare il tutto con :
# >
# > iptables -A INPUT -i ! $INTERFACE -j errore1
#
# Non capisco... e chi si connette dalla rete locale?
Ho inteso $INTERFACE come interfaccia interna [LAN]
Per i piu' :
"Prendi tutti quei pacchetti che NON arrivano dall'interfaccia interna,
e controllali con la catena 'errore1'.. ;o) "
Ora quello che ci fa lui nella catena non sono cose che decido io..
# E chi passa da ppp0 con un ip spoofato? Forse ho perso un passaggio...
E chi passa da ppp0 e' loggato con 'errore1' e del target di questi
pacchetti non sono io a decidere..
Per quanto riguarda ZERO, ad esempio, utilizzo :
iptables -A INPUT -i ! $EXTIF -j ACCEPT
[OVVIAMENTE il mio FW NON FINISCE QUI [sempre per i piu'.. ;o) ] ]
# > oppure [eXclusive OR]
# >
# > iptables -A INPUT -s ! 192.168.0.1/32 -j errore1
#
# Vedi sopra.. Questo blocca, ma non mi dice se è spoofing...
Questo target e' sfruttato per selezionare le connessioni che avvengono
e per loggarle su 'errore1'.. ma da qui in poi se la deve cavare lui..
Ho solo filtrato i pacchetti che non sono interni alla rete..
Volendo [come sai] puo' anche specificare i singoli host che possono
accedere, ma lo reputo TROPPO VERBOSE [Enzo sa perche'.. ;o) ]
anche se corretto..
Ora non sta a me decidere il target di questa catena..
--
# ######################## Manuel (R)ex Sanna ############################
# I computers non servono a niente. Danno solo risposte.. -- Pablo Picasso
# ########################################################################
More information about the pluto-security
mailing list