| View previous topic :: View next topic |
| Author |
Message |
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
 Posted: Thu Aug 31, 2006 4:45 am Post subject: firewall aggiungere nuove regole |
 |
|
bella,
stavo dando un'occhiata a un server di un cliente e stavo dando un'occhiata alle regole di iptables..
nell serverino ho trovato 2 file
| Quote: | # vi /var/lib/iptables
# vi /etc/init.d/iptable |
| Quote: |
# vi /var/lib/iptables
#!/bin/sh
#!/bin/sh
case "$1" in
start)
echo -n "Starting iptables:"
iptables-restore < /var/lib/iptables
echo " done."
;;
save)
echo -n "Saving iptables:"
iptables-save > /var/lib/iptables
echo " done."
;;
esac |
| Quote: |
# vi /etc/init.d/iptable
# Generated by iptables-save v1.2.11 on Wed Jul 20 07:10:01 2005
*filter
:INPUT ACCEPT [768:118516]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [136401:40989775]
:EXT - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s ! 192.168.0.0/255.255.255.0 -j EXT
-A EXT -p tcp -m tcp --dport 20 -j ACCEPT
-A EXT -p tcp -m tcp --dport 21 -j ACCEPT
-A EXT -p tcp -m tcp --dport 5432 -j ACCEPT
-A EXT -p tcp -m tcp --dport 22 -j ACCEPT
-A EXT -p tcp -m tcp --dport 80 -j ACCEPT
-A EXT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A EXT -p tcp -j REJECT --reject-with tcp-reset
-A EXT -p udp -j REJECT --reject-with icmp-port-unreachable
COMMIT
|
il server è un database ( postgresql) è mi chiedevo se potevo agiungere delle regole per difenderlo meglio oppure bastano queste....
poi potreste aiutarmi a capire ste regole che non me so tanti chiare   |
|
| Back to top |
|
 |
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Thu Aug 31, 2006 7:58 am Post subject: Re: firewall aggiungere nuove regole |
|
|
| rota wrote: |
il server è un database ( postgresql) è mi chiedevo se potevo agiungere delle regole per difenderlo meglio oppure bastano queste....
poi potreste aiutarmi a capire ste regole che non me so tanti chiare |
Parti con negare tutto nella chain di INPUT e poi abilita soltanto quello che ti serve. Nel tuo caso penso sia sufficiente la porta di postgres e ssh.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Thu Aug 31, 2006 8:22 am Post subject: Re: firewall aggiungere nuove regole |
|
|
| Code: |
# policy di default
:INPUT ACCEPT [768:118516]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [136401:40989775]
:EXT - [0:0]
# accetta tutto da localhost
-A INPUT -i lo -j ACCEPT
# invia al chain EXT tutto il traffico che non proviene dalla lan
-A INPUT -s ! 192.168.0.0/255.255.255.0 -j EXT
# accetta il traffico diretto a ftp, postgres, ssh, web
-A EXT -p tcp -m tcp --dport 20 -j ACCEPT # questa è inutile, toglila
-A EXT -p tcp -m tcp --dport 21 -j ACCEPT
-A EXT -p tcp -m tcp --dport 5432 -j ACCEPT
-A EXT -p tcp -m tcp --dport 22 -j ACCEPT
-A EXT -p tcp -m tcp --dport 80 -j ACCEPT
# accetta il traffico legato a connessioni già stabilite
-A EXT -m state --state RELATED,ESTABLISHED -j ACCEPT
# rifiuta il resto
-A EXT -p tcp -j REJECT --reject-with tcp-reset
-A EXT -p udp -j REJECT --reject-with icmp-port-unreachable
COMMIT
|
direi che puoi lasciarlo così, a meno che tu voglia abilitare altri servizi
ps.
hai invertito i nomi dei files e il loro contenuto.
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Thu Aug 31, 2006 11:28 am Post subject: |
|
|
aem ..scusami ma non ho capito..
| Quote: | | hai invertito i nomi dei files e il loro contenuto. |
cosa è una domanda??' non ho capito bene a cosa ti riferisci ...
cmq..pensavo che potevo metterci qualche regola per difendermi dagli attacchi dos...e altri tipi di attacco.... |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Thu Aug 31, 2006 1:21 pm Post subject: |
|
|
no, è un affermazione
/etc/init.d/iptables è lo script che salva/ripristina la conf in /var/lib/iptables, non il contrario.
in merito alle modifiche, ti parlo francamente: quella conf è abbastanza semplice da leggere, se già hai problemi ad interpretarla, ti sconsiglio di apportare modifiche se si tratta di un server in produzione.
fai prima un pò di pratica.
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
tocas
Apprentice
Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
|
| Posted: Wed Sep 06, 2006 9:23 am Post subject: |
|
|
....scusate ma non è meglio impostare le policy di tutte le catene a DROP e poi abilitare i servizi che servono :
| Code: |
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
|
....almeno si è sicuri che, se si comettono degli errori in qualche tabella e il flusso trova qualche altra strada fra le regole, alla fine ci pensa il DROP della catena a castigarlo. |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Wed Sep 06, 2006 11:44 am Post subject: |
|
|
Forse leggere i post di k mi ha reso più "cattivo" ma a me anche questa sembra una di quelle discussioni del tipo:
"non sono abbastanza competente per fare il mio lavoro, potete farlo voi per me così che io possa guadagnare di più alla faccia vostra ?"
Forse sono solo troppo intollerante ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
tocas
Apprentice
Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
|
| Posted: Wed Sep 06, 2006 2:19 pm Post subject: |
|
|
| Kernel78 wrote: | Forse leggere i post di k mi ha reso più "cattivo" ma a me anche questa sembra una di quelle discussioni del tipo:
"non sono abbastanza competente per fare il mio lavoro, potete farlo voi per me così che io possa guadagnare di più alla faccia vostra ?"
Forse sono solo troppo intollerante ... |
No! forse hai ragione ma allora potrebbe essere utile stabilire delle regole e una netiquette in questo senso. |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Wed Sep 06, 2006 2:36 pm Post subject: |
|
|
Penso che basti solo del buonsenso in fin dei conti 
Ad ogni modo, il concetto è già stato spiegato a rota, don't worry
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Wed Sep 06, 2006 2:42 pm Post subject: |
|
|
/me buonsenso++
_________________
When all else fails, read the instructions. |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
