[despammed] [PLUTO-security] Firewall bucato?

Stefano Callegari ste.callegari a tiscali.it
Mar 24 Feb 2004 16:20:01 CET


Il 24feb 14:55, Valentino Squilloni - OuZ scrisse:
> On Tue, 24 Feb 2004, Stefano Callegari wrote:
> 
[cut]
> Anzi, ti dico di piu', visto che hai comunque un router a monte il
> firewall hardware lo potresti pure levare, IMHO.

Il fw hw era già stato preventivato prima che mi chiedessero di
occuparmi (creare) un server linux. Non credo sia più "possibile"
toglierlo ora :-)

[cut]
> > Prima c'è il controllo allowed per le porte di un certo interesse
> > quindi il not_allowed e poi un allowed per le porte sopra i 1024.
> >
> > Devo invertire le ultime 2?
> 
> Potresti postare tutte le regole che riguardano la chain INPUT che non ho
> capito molto bene come funziona la cosa...

#
# TCP rules
#


$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 20:21
-j ACCEPT  # ftp
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 22 -j
ACCEPT  # ssh
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 25 -j
ACCEPT  # smtp
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 80 -j
ACCEPT  # http
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 110
-j ACCEPT  # pop3
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 --dport 3306
-j ACCEPT  # mysql
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 20:21 -j allowed       #
ftp
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 22 -j allowed          #
ssh
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 23 -j allowed          #
telnet
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 25 -j allowed          #
smtp
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 42 -j allowed
# nameserver
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j allowed          #
dns
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 80 -j allowed          #
http
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 110 -j allowed         #
pop3
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 443 -j allowed         #
https
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 113 -j allowed         #
authentication service

# servizi 1024:65535 già impiegati

$IPTABLES -A tcp_packets -p TCP -j not_allowed  #  cattivi pacchetti

#
# se non è filtrato prima è OK
#

$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 1024:65535 -j allowed  # 


Come prima, la linea inizia con $IPTABLES. A parte i servizi offerti
dal server, ho tagliato tutto il resto.

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy


Maggiori informazioni sulla lista pluto-security