Qualc'uno ha un esempio di script per iptables per bloccare i pacchetti in output inviati da un' interfaccia/programma diversa da ppp0 ?
Vorrei mettermi al riparo da eventuali programmi involontariamente installati che inviano dati o che fanno da server al di fuori di internet.
Se mi allegate l' esempio me lo studio, ovvio che deve fuzionare , oltre ad internet anche i programma di posta.
Ho configuarto iptables per non permettere l' accesso da internet alla mia macchina, se riesco a gestire anche l' output dovrei essere abbastanza al sicuro.
Esempi sulla rete ce ne sono ma sono complicati e proffessionali, io cerco una cosa semplice dato che e' un pc casalingo con una connessione internet singola

attenzione... la catena OUTPUT serve unicamente per le connessioni in uscita dal linux-box, non da una macchina della rete interna, per quelle si usa la catena FORWARD

es.
voglio impedire che dalla rete interna si vada su un qualsiasi smtp esterno?

iptables -t nat -A FORWARD -s reteinterna/mask -d ! ipdellinuxbox -p tcp --dport 25 -j REJECT

in questo modo il linuxbox puo' comunque collegarsi per spedire posta ma non le macchine sulla rete interna.

Un modo per farlo è questo:
iptables -A OUTPUT -o ppp0 -i ! ppp0 -j DROP
Ti lascio come esercizio il dimostrare come però questa regola sia assolutamente inefficace ;)

Grazie ad entrambi.
Ora confronto i vostri suggerimenti con cio' che ho capito da
http://www.netfilter.org/unreliable-guides/it/packet-filtering-HOWTO.html

Per ilsensine : se riesco a risponderti probabilmente significa che ho capito. Lasciami un paio di giorni....

Originariamente inviato da Hell-VoyAgeR
[b]
es.
voglio impedire che dalla rete interna si vada su un qualsiasi smtp esterno?

iptables -t nat -A FORWARD -s reteinterna/mask -d ! ipdellinuxbox -p tcp --dport 25 -j REJECT


sono d'accordo, ma di solito si usa il target DROP che lascia cadere i pacchetti e stop, REJECT è una cosa in più che risponde tramite ICMP "io il pacchetto non lo voglio", cosa secondo me inutile (a sto punto in caso di attacco potrebbe essere più interessante MIRROR)

cmq potresti fare (supponendo che il modem sia sulla stessa macchina da blindare e che non ci siano altre macchine in ballo)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i ppp0 -p tcp -m multiport --source-port 20,21,25,53,80,110 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp -m multiport --destination-port 20,21,25,53,80,110 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT

beh considerando che stiamo filtrando quello che proviene dalla rete interna secondo me e' piu' efficace un reject...

drop ti lascia l'eventuale client connesso in attesa di timeout, reject invece te lo sblocca immediatamente...

poi sono tutte scelte personali a mio parere! :)

in ogni caso il risultato e' assicurato :)