Script IPTABLES per interfaccia ETH0

NZ · 17-11-2003, 10:18

Ho l'ADSL con modem ethernet su NIC Realtek 8139D.
Purtroppo ho fatto dei casini sull'HD e devo reinstallare tutto

Nell'attesa di fare quindi delle prove "sul campo" sto preparando lo script Iptables per l'ADSL (primane usavo uno per 56k).
Allego quello preparato

Per piacere potreste darci un'occhiata e segnalare eventuali sciocchezze che ho scritto?

Ciao

ilsensine · 17-11-2003, 11:14

Da quel poco che so su pppox, non dovresti filtrare comunque ppp0 e lasciare aperta eth0?

NZ · 17-11-2003, 12:16

Quote:

Originariamente inviato da ilsensine
Da quel poco che so su pppox, non dovresti filtrare comunque ppp0 e lasciare aperta eth0?

Non ne ho la più pallida idea

Per questo ho aperto il thread

Dici di sostituire eth0 con ppp0? Mi informerò....

A parte l'interfaccia eth0/ppp0 come ti sembra lo script?

Ciao

NZ · 17-11-2003, 20:50

UP

Possibile che non ci sia nessuno che navighi con ADSL ethernet e abbia uno script iptables

NA01 · 17-11-2003, 20:56

dovresti dire cosa vuoi fare e che programmi vuoi usare....
dipende tutto dall'uso che fai della rete

ciao

NZ · 17-11-2003, 22:01

Quote:

Originariamente inviato da NA01
dovresti dire cosa vuoi fare e che programmi vuoi usare....

come che programmi voglio usare?

browser,client mail,download manager....

Lo script postato è quasi identico a quello che usavo con il 56k solo che a ppp0 ho sostituito eth0. Va bene?

Ciao

NZ · 18-11-2003, 20:31

UP

eclissi83 · 18-11-2003, 21:51

uah sinceramente il mio è molto più scarno però funziona bene...

non faccio tutte quelle cose coi log, tanto lo stesso non mi si può attaccare...

cmq non è affatto male...

NZ · 20-11-2003, 18:54

Allora,finalmente ho reinstalalto slack e ho fatto delle prove.
Se nello script metto eth0 e lancio adsl-start risulto connesso ma non navigo

Se invece nello script metto ppp0 allora navigo

Domanda: è normale che sia così oppure con ppp0 navigo ma non filtro alcun pacchetto?

Ciao

mam29 · 20-11-2003, 22:16

ciao Nz ho dato un guardata molto veloce,

lasciando perdere quello che fanno le chain create da te nella chain di input hai
$IPT -t filter -A INPUT -s 224.0.0.0/8 -j log_drop
qui mandi i pacchetti multicast nella chain log_drop
$IPT -t filter -A INPUT -i lo -j ACCEPT
acchetti i pacchetti in input sulla interfaccia lo
$IPT -t filter -A INPUT -i ! lo -d 127.0.0.0/8 -j log_drop
$IPT -t filter -A INPUT -i eth0 -j ppp_in
qui mandi i pacchetti in input nella interfaccia etho nella chain ppp_in
$IPT -t filter -A INPUT -j log_drop
qui mandi tutti i restanti pacchetti restanti e quindi
anche quelli della interfaccia esterna nella chain log_drop.
Cosa fa questa chain, li logga (prova a dare un occhiata a /var/los/syslog )
$IPT -t filter -A log_drop -j LOG --log-level warning --log-prefix '<audit>'
e poi li scarta
$IPT -t filter -A log_drop -j DROP

Come ti ho detto prima non ho guardato il resto di regole per darti altri consigli ma cosi certamente tutti i pacchetti della interfaccia esterna vengono loggati e poi scartati.

17-11-2003, 11:14	#2
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Da quel poco che so su pppox, non dovresti filtrare comunque ppp0 e lasciare aperta eth0? __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

18-11-2003, 21:51	#8
eclissi83 Senior Member Iscritto dal: Jan 2001 Messaggi: 2289	uah sinceramente il mio è molto più scarno però funziona bene... non faccio tutte quelle cose coi log, tanto lo stesso non mi si può attaccare... cmq non è affatto male... __________________ FreeBSD, OpenBSD and GNU/Linux User Free Software Foundation Associate Member proudly member of poco-serio™ team! nella foto son quello simpatico... l'altro e' \|Stan\|

17-11-2003, 20:50	#4
NZ Senior Member Iscritto dal: Jan 2001 Messaggi: 3278	UP Possibile che non ci sia nessuno che navighi con ADSL ethernet e abbia uno script iptables

17-11-2003, 20:56	#5
NA01 Senior Member Iscritto dal: Jun 2003 Città: Genova Messaggi: 5676	dovresti dire cosa vuoi fare e che programmi vuoi usare.... dipende tutto dall'uso che fai della rete ciao

18-11-2003, 20:31	#7
NZ Senior Member Iscritto dal: Jan 2001 Messaggi: 3278	UP

20-11-2003, 18:54	#9
NZ Senior Member Iscritto dal: Jan 2001 Messaggi: 3278	Allora,finalmente ho reinstalalto slack e ho fatto delle prove. Se nello script metto eth0 e lancio adsl-start risulto connesso ma non navigo Se invece nello script metto ppp0 allora navigo Domanda: è normale che sia così oppure con ppp0 navigo ma non filtro alcun pacchetto? Ciao

20-11-2003, 22:16	#10
mam29 Member Iscritto dal: Sep 2000 Messaggi: 21	ciao Nz ho dato un guardata molto veloce, lasciando perdere quello che fanno le chain create da te nella chain di input hai $IPT -t filter -A INPUT -s 224.0.0.0/8 -j log_drop qui mandi i pacchetti multicast nella chain log_drop $IPT -t filter -A INPUT -i lo -j ACCEPT acchetti i pacchetti in input sulla interfaccia lo $IPT -t filter -A INPUT -i ! lo -d 127.0.0.0/8 -j log_drop $IPT -t filter -A INPUT -i eth0 -j ppp_in qui mandi i pacchetti in input nella interfaccia etho nella chain ppp_in $IPT -t filter -A INPUT -j log_drop qui mandi tutti i restanti pacchetti restanti e quindi anche quelli della interfaccia esterna nella chain log_drop. Cosa fa questa chain, li logga (prova a dare un occhiata a /var/los/syslog ) $IPT -t filter -A log_drop -j LOG --log-level warning --log-prefix '<audit>' e poi li scarta $IPT -t filter -A log_drop -j DROP Come ti ho detto prima non ho guardato il resto di regole per darti altri consigli ma cosi certamente tutti i pacchetti della interfaccia esterna vengono loggati e poi scartati.

Strumenti
Mostra una versione stampabile Invia questa pagina per email