[ml] aiuto script per iptables

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2006 ml@sikurezza.org
Soggetto: [ml] aiuto script per iptables
Mittente: Felice.pizzurro
Data: Fri, 13 Jan 2006 15:03:30 +0100 (CET)

Ciao a tutti,

vi esplico la mia situazione:

su piattaforma linux (gentoo kernel 2.6) ho creato un hotspot con
chillispot,freeradius e mysql.
Questa la mia configurazione di rete:

i client wireless hanno indirizzi assegnati dall'hotspot in dhcp nella
sottorete 192.168.182.0/24
questi client fanno capo all'interfaccia eth1 (192.168.182.1/24)
l'altra interfaccia eth0 è collegata alla rete aziendale (192.168.0.0/16)
Il gateway della rete aziendale è 192.168.1.250

avrei bisogno di creare un firewall sulla macchina che fa da hotspot che mi
consenta di bloccare l'accesso dei client wireless verso la rete interna
aziendale, in più ho bisogno che anche se i client wireless di mettono sullo
stesso gruppo di lavoro windows non vedano le risorse condivise.

Non sono m,olto pratico di iptables per cui c'è qualcuno che può darmi una
mano, magari dandomi i comandi che dovrei inserire in uno script?
Vi posto lo script di default fornito con chillispot e che mi permette di
far funzionare il tutto ma che non implementa politiche di sicurezza:

IPTABLES="/sbin/iptables"
EXTIF="eth0"
INTIF="eth1"

#definite le policy di default
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A FORWARD -i $INTIF -o $EXTIF  -p tcp -m tcp --dport 445 -j
REJECT
#Allow related and established on all interfaces (input)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Allow releated, established and ssh on $EXTIF. Reject everything else.
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -j REJECT

#Allow related and established from $INTIF. Drop everything else.
$IPTABLES -A INPUT -i $INTIF -j DROP

#Allow http and https on other interfaces (input).
#This is only needed if authentication server is on same server as chilli
$IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT

#Allow 3990 on other interfaces (input).
$IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT

#Allow everything on loopback interface.
$IPTABLES -A INPUT -i lo -j ACCEPT

# Drop everything to and from $INTIF (forward)
# This means that access points can only be managed from ChilliSpot
$IPTABLES -A FORWARD -i $INTIF -j DROP
$IPTABLES -A FORWARD -o $INTIF -j DROP

#Enable NAT on output device
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

-- 
Computers are like air conditioners: they stop work properly when you open
Windows...

 
 --
 Email.it, the professional e-mail, gratis per te: http://www.email.it/f
 
 Sponsor:
 Telefonare all'estero risparmiando fino all'80%? Con Email.it Phone Card
puoi, clicca e scopri tutti i vantaggi
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=2683&d=20060113

Messaggi successivi:
- Re: [ml] aiuto script per iptables, Paolo Ripamonti

Data:
- precedente: Re: [ml] [OT] Trusted Computing, Gigi Sullivan
- successivo: [ml] Squid, ISA Server ed Active Directory, Luca Messori
- indice

Argomento:
- precedente: RE: [ml] soluzione backup sicuro, Mimmus
- successivo: Re: [ml] aiuto script per iptables, Paolo Ripamonti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005