Iptables e porte udp

[Pang]

Ciao ragazzi! Ho un piccolo problema: ho configurato iptables per una lan, da internet verso la lan è tutto chiuso, mentre dalla lan verso internet ho aperto le solite cose, come http, ftp , pop3, smtp... Il problema è che qualsiasi portscan mi trova una marea di porte udp aperte che io non homai aperto . Ma teoricamente iptables -P INPUT/FORWARD/OUTPUT DROP non dovrebbe buttare via tutti i pacchetti che non si possono associare a delle regole?
Questo è lo script:

#!/bin/bash

# pulizia delle catene standard
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# abilitazione del nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# se un pacchetto non si può associare a una regola, questo dev'essere buttato via
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# creazione di nuove catene
iptables -N laninet
iptables -N inetlan
iptables -N lanfw
iptables -N fwlan
iptables -N fwinet
iptables -N inetfw

# inserimento delle nuove catene in quelle principali, con la specificazione dell'interfaccia
iptables -A FORWARD -i eth0 -o eth1 -j inetlan
iptables -A FORWARD -i eth1 -o eth0 -j laninet
iptables -A INPUT -i eth1 -j lanfw
iptables -A OUTPUT -o eth1 -j fwlan
iptables -A INPUT -i eth0 -j inetfw
iptables -A OUTPUT -o eth0 -j fwinet

# dalla lan a internet
iptables -A laninet -p tcp --dport www -j ACCEPT
iptables -A laninet -p tcp --dport pop3 -j ACCEPT
iptables -A laninet -p tcp --dport smtp -j ACCEPT
iptables -A laninet -p tcp --dport ftp -j ACCEPT
iptables -A laninet -p tcp --dport 8383 -j ACCEPT
iptables -A laninet -p tcp --dport 8000 -j ACCEPT
iptables -A laninet -p tcp --dport 445 -j ACCEPT
iptables -A laninet -p tcp -d 212.216.172.62 --dport domain -j ACCEPT
iptables -A laninet -p udp -d 212.216.172.62 --dport domain -j ACCEPT
iptables -A laninet -p tcp -d 212.216.112.112 --dport domain -j ACCEPT
iptables -A laninet -p udp -d 212.216.112.112 --dport domain -j ACCEPT
iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset

# da internet alla lan
iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset

# dalla lan al firewall
iptables -A lanfw -p tcp --dport ssh -j ACCEPT
iptables -A lanfw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A lanfw -p tcp -j REJECT --reject-with tcp-reset

# dal firewall alla lan
iptables -A fwlan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A fwlan -p tcp -j REJECT --reject-with tcp-reset

# da internet al firewall
iptables -A inetfw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A inetfw -p tcp -j REJECT --reject-with tcp-reset

# dal firewall a internet
iptables -A fwinet -p tcp --dport www -j ACCEPT
iptables -A fwinet -p tcp -d 212.216.172.62 --dport domain -j ACCEPT
iptables -A fwinet -p udp -d 212.216.172.62 --dport domain -j ACCEPT
iptables -A fwinet -p tcp -d 212.216.112.112 --dport domain -j ACCEPT
iptables -A fwinet -p udp -d 212.216.112.112 --dport domain -j ACCEPT
iptables -A fwinet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A fwinet -p tcp -j REJECT --reject-with tcp-reset

Grazie mille!
Ciao

[Pang]

Dai ragazzi vi prego!

[Timewolf]

Quote:

Originally posted by "Pang"

Dai ragazzi vi prego!

HO dato una rapida occhiata...e (non sono un guru di iptables) mi sembra che alla fine di ogni punto te dai un reject per tutte le connessioni TCP che non soddisfano le regole sopra...allora che senso ha mettere il DROP prima?

Leva il drop ed alla fine metti

iptables -A INPUT -j DROP

Cosi' ogni connessione in ingresso da qualunque destinazione viene bloccata.

[Pang]

E' vero, quindi anche solamente aggiungendo iptables -A nomecatena -p udp -j REJECT alla fine dovrebbe bloccarmi tutti i pacchetti udp che non fanno parte delle regole?
Sarebbe corretto?

Grazie
Ciao