| View previous topic :: View next topic |
| Author |
Message |
FreeManAtomic
Guru
Joined: 01 Feb 2005
Posts: 365
|
 Posted: Wed Feb 15, 2006 8:41 am Post subject: iptables, regola troppo permissiva? |
 |
|
Ciao,
una regola del tipo:
| Code: |
iptables -I FORWARD -m state --state=ESTABLISHED,RELATED -j ACCEPT
|
su un firewall in produzione secondo voi e troppo permissiva?
Grazie |
|
| Back to top |
|
 |
Sasdo
Guru
Joined: 18 Feb 2004
Posts: 542
Location: 44.476474,11.644446 circa.
|
| Posted: Wed Feb 15, 2006 9:07 am Post subject: Re: iptables, regola troppo permissiva? |
|
|
| FreeManAtomic wrote: | Ciao,
una regola del tipo:
| Code: |
iptables -I FORWARD -m state --state=ESTABLISHED,RELATED -j ACCEPT
|
su un firewall in produzione secondo voi e troppo permissiva?
Grazie |
ammetto di non saperne molto a riguardo (non so come funzioni esattamente il meccanismo di ESTABLISHED RELATED) però dovrebbe andar bene se in coppia con una regola che blocca tutto l'output (e il forward) su tutte le porte meno quelle basilari come 80, 22 ecc..
...così eviti che qualche simpatico cavallo di troia possa divertirsi a tua insaputa.
ciao
il Sasdo
_________________
LinuxUser #362518
--
Ochei lo ammetto: il mio cervello lo tengo in frigo. |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Wed Feb 15, 2006 9:28 am Post subject: |
|
|
ESTABLISHED,RELATED = traffico legato a connessioni già stabilite.
- pacchetti provenienti dal server web interrogato dal client
- icmp echo replay in risposta ad un echo request
@FreeManAtomic
è una buona regola ma va accoppiata ovviamente con la DROP di tutto il resto.
se la usi senza specificare alcuna interfaccia devi anche far passare --state = NEW verso l'esterno
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Wed Feb 15, 2006 10:09 am Post subject: Re: iptables, regola troppo permissiva? |
|
|
| FreeManAtomic wrote: | Ciao,
una regola del tipo:
| Code: |
iptables -I FORWARD -m state --state=ESTABLISHED,RELATED -j ACCEPT
|
su un firewall in produzione secondo voi e troppo permissiva? |
non direi che è troppo permissiva. direi proprio che è obbligatoria, altrimenti non ti funziona più niente.
io ti consglierei comunque di leggere unbuon manuale  |
|
| Back to top |
|
|
FreeManAtomic
Guru
Joined: 01 Feb 2005
Posts: 365
|
| Posted: Wed Feb 15, 2006 10:34 am Post subject: |
|
|
naa non e questione di manuali, piu' che altro oltre ad aver letto siamo diverse teste pensanti di questo firewall, alla fine ci siamo chiesti ma non e' che esiste gabola nascosta  Per questo ho chiesto alla massa  |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Wed Feb 15, 2006 11:27 am Post subject: |
|
|
Moved from Forum italiano (Italian) to Forum di discussione italiano.
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
