pillole di iptables
considerate che un firewall minimale, ma blindato, può essere costruito tramite queste regole:
Codice:
#policy drop, rilascia tutti i pacchetti che non soddisfano i criteri:
iptables -P FORWARD DROP
#lascia passare pacchetti con connesisone già stabilita
#o se è un pacchetto relativo ad altri accettati in precedenza:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#attiviamo il masquerade per la rete interna,
#in modo da renderla trasparente all'esterno...
#indispensabile per fare da gateway;
#cambiare l'indirizzo della lan alla bisogna
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#ricordate che per un gateway occorre abilitare l'ip forwarding...
echo 1 > /proc/sys/net/ipv4/ip_forward
inoltre filtriamo direttamente l'input:
Codice:
#policy drop, se i criteri non sono soddisfatti i pacchetti vengono scartati:
iptables -P INPUT DROP
#lasciamo libero il traffico di loopback:
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
#faccio passare il traffico già ritenuto sicuro in precedenza:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#apro tutto il traffico alla lan:
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
#oppure, con eth0=interfaccia di rete locale:
iptables -A INPUT -i eth0 -j ACCEPT
#apro le porte dei servizi che voglio far raggiugnere:
iptables -A INPUT -p tcp --destination-port 4662 -j ACCEPT
#cambiate tcp con udp, il numero della porta e aggiugnete altre condizioni
se volete restringere ulteriormente l'accesso... esempio:
Codice:
iptables -A INPUT -p tcp --destination-port 80 -s 192.186.0.0/24 -i eth0 -j ACCEPT
abilita l'accesso al server web ai soli indirizzi della lan connesso all'interfaccia eth0 (utile se si vuole avere la certezza che il pacchetto venga da locale...)
forse per qualcuno è arabo, ma alla fine è una cavolata...
basta sapere la sintassi e le regole...
se facessero un firewall così anche per windows non me la menerei per impostare ogni cosa sui pc degli amici...
bye