[PLUTO-security] [iptables] - curiosita' sui log
Piviul
pluto a flanet.org
Ven 23 Apr 2004 13:37:13 CEST
Alessandro R. wrote:
> On Fri, Apr 23, 2004 at 12:19:14PM +0200, Piviul wrote:
>
>>Non ho ben capito nel senso che... non NATTI?
>
> NO e' un NAT vero e proprio..Ho tralasciato le regole di NAT perche'
> le davo per scontate...Se non era chiaro chiedo scusa :P
...lo avevo immaginato.
>>>iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>>
>>Cosė stai facendo il FORWARD dei pacchetti sulla porta 80 sia dalla tua
>>LAN verso INTERNET, che da INTERNET verso la tua LAN (che non ti serve
>>assolutamente a meno che tu abbia un server web che deve essere
>>raggiunto... ma dove dal momento che non lo specifichi?). Se vuoi che i
>>tuoi client utilizzino solo la porta 80 devi aggiungere -i $ETH-LAN
>>(dove $ETH-LAN contiene la eth della tua rete)
>
> Quindi mi dici che questa regola e' inutile a meno che io nn abbia un webserver nella
> mia LAN?
In qualche modo si, nel senso che la sostituirei con
iptables -A FORWARD -i $ETH-LAN -m state --state NEW -j ACCEPT
(a meno che non vuoi limitare i tuoi utenti alla porta 80...)
Ancora auguri ed effettivamente sono daccordo con Stefano: non loggare
tutto...
Ancora auguri
Piviul
Maggiori informazioni sulla lista
pluto-security