(R)e: [PLUTO-security] Problema firewall

Rex Sanna 77512746 at tiscali.it
Fri May 16 17:39:41 CEST 2003 

De : " [PLUTO-security] (R)e: Problema firewall "


# > Se non che non ho notato il controllo sulle connessioni RELATED,ESTABLISHED.. 
# Immagino che il firewall postato non sia lo script completo (altrimenti
# ne manca, di roba!!!)
Gia'..
ma io e te lo sappiamo.. ;o)


# > # (ovviamente, a questo punto la regola diventa doppia:
# > # # Blocca tentativi di IP spoofing
# > # #
# > #     $IPTABLES -A INPUT -i $INTERFACE -s $LOCALPC1 -j errore1
# > #     $IPTABLES -A INPUT -i $INTERFACE -s $LOCALPC2 -j errore1
# > #
# > Beh, a questo punto, perche' non ottimizzare il tutto con :
# >
# > 	iptables -A INPUT -i ! $INTERFACE -j errore1
#
# Non capisco... e chi si connette dalla rete locale? 
Ho inteso $INTERFACE come interfaccia interna [LAN]

Per i piu' :
"Prendi tutti quei pacchetti che NON arrivano dall'interfaccia interna, 
e controllali con la catena 'errore1'.. ;o) "

Ora quello che ci fa lui nella catena non sono cose che decido io.. 

# E chi passa da ppp0 con un ip spoofato? Forse ho perso un passaggio...
E chi passa da ppp0 e' loggato con 'errore1' e del target di questi 
pacchetti non sono io a decidere..

Per quanto riguarda ZERO, ad esempio, utilizzo :

       iptables -A INPUT -i ! $EXTIF -j ACCEPT

[OVVIAMENTE il mio FW NON FINISCE QUI [sempre per i piu'.. ;o) ] ]


# > oppure [eXclusive OR]
# >
# > 	iptables -A INPUT -s ! 192.168.0.1/32 -j errore1
#
# Vedi sopra.. Questo blocca, ma non mi dice se è spoofing...
Questo target e' sfruttato per selezionare le connessioni che avvengono 
e per loggarle su 'errore1'.. ma da qui in poi se la deve cavare lui..

Ho solo filtrato i pacchetti che non sono interni alla rete..
Volendo [come sai] puo' anche specificare i singoli host che possono 
accedere, ma lo reputo TROPPO VERBOSE [Enzo sa perche'.. ;o) ]
anche se corretto..

Ora non sta a me decidere il target di questa catena..

-- 
# ######################## Manuel (R)ex Sanna ############################
# I computers non servono a niente. Danno solo risposte.. -- Pablo Picasso
# ########################################################################

More information about the pluto-security mailing list