[Linux-Biella] FTP e iptables

[MauroTB]

> Ah si?!? Ugh... Conosco ben poco iptables... Questa regola non l'ho
scritta io... Sostituisco di brutto con quanto riporti sotto?
Bhè quello che ho postato serve solo per l'ftp.
Per ogni altro protocollo devi aggiungere delle regole.
Facciamo un minimo di chiarezza...
Allora,ogni buon firewall impostato da un buon sistemista inizia sempre con
3 regole fisse

#!/bin/sh

IFACE_esterna="eth0"

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
#Ovvero nega tutto in ingresso in uscita e in forward (leggi non fare nulla
in qualsiasi caso)
#Ora per proteggere la tua macchina,aggiungi uno per volta i protocolli che
ti servono (nb per l'ftp che è un protocollo un pò schifato dai fw visto che
non ha connessioni,utilizza le regole che ho postato prima)

#Abilitiamo il dns lookup
/sbin/iptables -A INPUT -i $IFACE_esterna -p udp --source-port 53 -m
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p udp --destination-port 53 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Abilitiamo l'HTTP in uscita
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 80 -m
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 80 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Abilitiamo FTP in uscita
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 21 -m
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 21 -m
state --state NEW,ESTABLISHED -j ACCEPT
#FTP Attivo
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 20 -m
state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 20 -m
state --state ESTABLISHED -j ACCEPT
#FTP Passivo
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port
$UP_PORTS --destination-port $UP_PORTS -m state --state ESTABLISHED -j
ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --source-port
$UP_PORTS --destination-port $UP_PORTS -m state --state
ESTABLISHED,RELATED -j ACCEPT
#SMTP in uscita
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 25 -m
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 25 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Pop3 in uscita
/sbin/iptables -A INPUT -i $IFACE_esterna -p tcp --source-port 110 -m
state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o $IFACE_esterna -p tcp --destination-port 110 -m
state --state NEW,ESTABLISHED -j ACCEPT

e via così per tutti i protocolli che ti servono.
Questo è il minimo per il minimo della sicurezza.
Esistono poi molti altri metodi per aumentare la sicurezza tramite
iptables,tipo l'inspection dei pacchetti,il controllo sul numero di
connessioni per sec,i frammenti etc etc
Inoltre tramite il proc fs è possibile dire al kernel in che modo
comportarsi in determinate situazioni e per che tipo di pacchetti

Ciao

>
> > da quanto hai scritto penso che tu debba proteggere solo la tua =
> > macchina,quindi
>
> Esatto!
>
> Appena ho un attimo, provo!
>
> Mille grazie!
> Luca
> _______________________________________________
> Linux mailing list
> Linux@bilug.linux.it
> http://www.bilug.linux.it/mailman/listinfo/linux
>