|
|||||||
|
|
|
 |
|
|
Strumenti |
14-09-2002, 14:58
|
#1 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 581
|
iptables esempio di gestione della catena OUTPUT
Qualc'uno ha un esempio di script per iptables per bloccare i pacchetti in output inviati da un' interfaccia/programma diversa da ppp0 ?
Vorrei mettermi al riparo da eventuali programmi involontariamente installati che inviano dati o che fanno da server al di fuori di internet. Se mi allegate l' esempio me lo studio, ovvio che deve fuzionare , oltre ad internet anche i programma di posta. Ho configuarto iptables per non permettere l' accesso da internet alla mia macchina, se riesco a gestire anche l' output dovrei essere abbastanza al sicuro. Esempi sulla rete ce ne sono ma sono complicati e proffessionali, io cerco una cosa semplice dato che e' un pc casalingo con una connessione internet singola |
|
|
|
14-09-2002, 16:41
|
#2 |
|
Senior Member
Iscritto dal: Jan 2002
Città: Rimini
Messaggi: 1203
|
attenzione... la catena OUTPUT serve unicamente per le connessioni in uscita dal linux-box, non da una macchina della rete interna, per quelle si usa la catena FORWARD
es. voglio impedire che dalla rete interna si vada su un qualsiasi smtp esterno? iptables -t nat -A FORWARD -s reteinterna/mask -d ! ipdellinuxbox -p tcp --dport 25 -j REJECT in questo modo il linuxbox puo' comunque collegarsi per spedire posta ma non le macchine sulla rete interna.
__________________
Quale parte di NO non hai capito? | MBP Retina Late 2013 - iPhone 6 64GB - iPad Air 64GB Fiero membro del BOFH club (Bastard Operators From Hell) |
|
|
|
|
14-09-2002, 18:04
|
#3 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Un modo per farlo è questo:
iptables -A OUTPUT -o ppp0 -i ! ppp0 -j DROP Ti lascio come esercizio il dimostrare come però questa regola sia assolutamente inefficace 
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
14-09-2002, 19:41
|
#4 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 581
|
Grazie ad entrambi.
Ora confronto i vostri suggerimenti con cio' che ho capito da http://www.netfilter.org/unreliable-...ing-HOWTO.html Per ilsensine : se riesco a risponderti probabilmente significa che ho capito. Lasciami un paio di giorni.... |
|
|
|
|
16-09-2002, 00:44
|
#5 | |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
Quote:
cmq potresti fare (supponendo che il modem sia sulla stessa macchina da blindare e che non ci siano altre macchine in ballo) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -i ppp0 -p tcp -m multiport --source-port 20,21,25,53,80,110 -j ACCEPT iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp -m multiport --destination-port 20,21,25,53,80,110 -j ACCEPT iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
17-09-2002, 09:26
|
#6 |
|
Senior Member
Iscritto dal: Jan 2002
Città: Rimini
Messaggi: 1203
|
beh considerando che stiamo filtrando quello che proviene dalla rete interna secondo me e' piu' efficace un reject...
drop ti lascia l'eventuale client connesso in attesa di timeout, reject invece te lo sblocca immediatamente... poi sono tutte scelte personali a mio parere!  in ogni caso il risultato e' assicurato
__________________
Quale parte di NO non hai capito? | MBP Retina Late 2013 - iPhone 6 64GB - iPad Air 64GB Fiero membro del BOFH club (Bastard Operators From Hell) |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:53.
