[PLUTO-security] [iptables] - curiosita' sui log
Stefano Callegari
ste.callegari a tiscali.it
Ven 23 Apr 2004 14:12:29 CEST
Il 23apr 12:48, Piviul scrisse:
> Stefano Callegari wrote:
> >>>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
[cut]
> >>fare altro in quanto fai passare solo connessioni sulla porta 80 (sempre
> >>per regola numero 2).
> >
> >
> >Forse qui ti stai sbagliando. Se non ci fosse questa regola allora
> >avresti ragione (è accettato solo quello che transita sulla porta 80),
> >ma con questa dalla LAN potrà fare richieste all'esterno. O no?
>
> Quello che dici è vero ma soltanto nel caso in cui siano connessioni in
> ogni caso "partite" verso la porta 80
>
> Giusto?
Malefico iptables. Bisogna contare fino a 10 prima di dare una risposta
:-)
Si, hai ragione. Mi sono dimenticato che come prima regola (dopo il
DROP) ho $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT che mi fa uscire
con tutto.
L'altra regola è per il ritorno.
Per quanto riguarda le regole per il log potrebbe creare più catene
suddividendo il log per traffico (LAN o Internet / in o out) dando
diverse "priorità".
L'opzione limit si limita esclusivamente a generare un log in funzione
del numero di pacchetti nel tempo. Questo potrebbe far perdere alcuni
log invece importanti.
Non mi sembrano esserci altre opzioni.
Ma se vuole controllare il traffico, non è meglio un proxy?
Ciao
--
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy
Maggiori informazioni sulla lista
pluto-security