aiuto con iptable

[Herod2k]

Ciao ragazzi,

ho bisogno di un'aiuto su un argomento che conosco molto poco...iptable

io ho un computer che deve essere raggiungibile solo da alcuni ip per tutti gli altri deve essere "invisibile", faccio un'esempio:
io ho dei computers su:
192.168.1.x
192.168.2.x
192.168.3.x
vorrei che il computer 192.168.2.32 fosse raggiungibile solo dai computers che fanno parte di 192.168.2.x per tutti gli altri non dovrebbe rispondere a nessun tipo di sollecito o connessione (neanche al ping...).

Come posso fare?

Grazie

H2K

[W.S.]

Ma l'iptables che vuoi configurare sta sul 192.168.2.32 o sul gateway della rete?

Se sta sul client ti basta impostare la policy di INPUT a DROP ed inserire la regola
iptables -t filter -I INPUT -s 192.168.2.0/24 -j ACCEPT

(oppure un insieme di regole più restrittive)

Se sta sul gateway devi inserire le regole nella FORWARD, se puoi imposti pure li la policy a DROP, altrimenti inserisci come regola:

iptables -t filter -I FORWARD -d 192.168.2.32 -j DROP

In questo modo il client non è raggiungibile dall'esterno della sua subnet.

[Shang Tsung]

ma tui hai un server linux che fa da routing a queste sottoreti e quindi il firewall andrebbe qui oppure il firewall va solo suol 2.32?

[Herod2k]

Quote:

Originariamente inviato da W.S.

Ma l'iptables che vuoi configurare sta sul 192.168.2.32 o sul gateway della rete?

Se sta sul client ti basta impostare la policy di INPUT a DROP ed inserire la regola
iptables -t filter -I INPUT -s 192.168.2.0/24 -j ACCEPT

basta solo questa stringa?

Quote:

Originariamente inviato da Shang Tsung

ma tui hai un server linux che fa da routing a queste sottoreti e quindi il firewall andrebbe qui oppure il firewall va solo suol 2.32?

Si si sta sul client il firewall

Dopo aver scritto qua mi sono imbatutto su un sito che diceva di utilizzare host.allow e host.deny coi che ne pensate e quali sono le differenze?

[ilsensine]

Quote:

Originariamente inviato da Herod2k

Dopo aver scritto qua mi sono imbatutto su un sito che diceva di utilizzare host.allow e host.deny coi che ne pensate e quali sono le differenze?

Quei due file sono usati dal tcp wrapper, non so bene come opera e quali applicazioni ne fanno uso.
iptables è la cosa migliore; ricordati anche di accettare i pacchetti con stato RELATED ed ESTABLISHED altrimenti la tua macchina potrà accedere solo con la rete che hai indicato in ACCEPT.

[W.S.]

Quote:

Originariamente inviato da Herod2k

basta solo questa stringa?

Bhe no

# con questa imposti la policy di default (cosa fare con i pacchetti che non rientrano nelle regole)
iptables -t filter -P INPUT DROP
# accetti i pacchetti della subnet
iptables -t filter -I INPUT -s 192.168.2.0/24 -j ACCEPT
# come da ilsensine, accetti i pacchetti in entrata legati a connessioni richieste o già stabilite
iptables -t filter -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dovrebbe rientrare nell'ultima regola, cmq se viene bloccato devi abilitare il traffico di loopback:
iptables -t filter -I INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

[Herod2k]

grazie mille ... io e iptable abbiamo litigato da bambini e da allora non ci parliamo ...

[Psycotic]

col tcp wrapper limiti i servizi lanciati da inetd

es: da inetd.conf con telnet

telnet stream tcp6 nowait root /usr/lbin/tcpd /usr/lbin/telnetd telnetd

hosts.allow:
telnetd: 192.168.1.0/255.255.255.0

hosts.deny
ALL: ALL


tutto cio' starebbe a dire che qando fai una connessione al telnetd, se fai parte lella rete 192.168.1.0 puoi entrane seno' nulla.
Tutti gli altri servizi sono invece chiusi