Re: firewall e policy

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2003 ml@sikurezza.org
Soggetto: Re: firewall e policy
Mittente: Morpheus
Data: 16 May 2003 11:31:41 -0000

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 12:14, mercoledì 14 maggio 2003, Daniele Palumbo ha spippolato:
[snip]
> >Prendono in considerazione ip statici per semplicità didattica.
> > L'estensione agli ip dinamici è pressochè automatica (una volta capito
> > cosa fa la regola) con poche modifiche.
>
> su questo avrei qualcosa da ridire, ci sono persone che si sono smazzolate
> con ifconfig, cut e sed (tra le quali me dopo aver visto la prima volta
> non_ricordo_quale_howto) e che hanno appunto "estratto" l'ip
> dall'interfaccia desiderata... mi sembra un approccio molto "dinamico"

Sicuramente mi sono spiegato male. Provo a riassumere brevemente tutto il 
discorso. Quello che intendevo dire è semplicemente che, soprattutto in 
piccole lan, come posso arguire dalla premessa riguardante il possesso di un 
ip dinamico e dal tipo di contratto con l'ISP, una volta fissata/e 
l'interfaccia/e da filtrare (tipicamente ppp0 e poco altro) risulta 
estremamente più comodo e snello ricorrere alla statefull inspection ed al 
connection tracking di netfilter piuttosto che "granularizzare" pesantemente 
le regole con tutti i problemi che cio' si trascina dietro. Questo, salvo 
esigenze particolari che trovano riscontro nella struttura del set di regole 
fissato, rende di fatto inutile il lavoro di estrazione dell'ip assegnato "a 
suon di" espressioni regolari. Naturalmente la scrittura di documentazione 
più o meno esaustiva e quanto più possibile generica, che illustri al meglio 
le potenzialità di un pacchetto nell'ambito di spazi ristretti, impone l'uso 
di esempi altrettanto generici in cui vengono chiamati in causa tutti i 
concetti esposti (ciò non significa che siano metodicamente tutti utili per 
il singolo caso). L'approccio didattico più semplice e conciso obbliga, 
secondo tali premesse, a riferirsi ad indirizzi ip ben definiti (statici).
Penso di aver individuato l'how-to chiamato in causa ed in esso, se hai 
occasione di rivederlo, noterai ad esempio che vengono filtrati (e drop-pati) 
gli indirizzi ip di tutte le reti di classe privata in arrivo da internet per 
mettersi al riparo dai problemi di spoofing. Naturalmente quello è solo un 
esempio volto a facilitare la comprensione di un insieme di regole (gli 
indirizzi di classe privata non vengono instradati dai router per ovvie 
ragioni, inoltre il possesso di una sola rete di classe C non richiede il 
filtraggio delle reti di classe A e B come potrebbe sembrare da un esame poco 
attento di quel documento).
Spero di aver chiarito meglio la questione e mi scuso con tutti per la 
lungaggine.
Saluti
Paolo
- -- 
*************************************
  Linux R.U. 223916 R.M. 106779

  Ci vuole giorno molto piovoso
       per annegare papera
*************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE+wpClE8+EZeDD8mQRAncyAJ4ux3vsGP2/oCQAWjR6JD2d8KTpaACgsIti
HC7aJGP19H8iNaWgV6EgU8I=
=rYK7
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- firewall e policy, Daniele Palumbo
- Re: firewall e policy, Daniele Palumbo

Data:
- precedente: md5Sum, _Martin_
- successivo: Re: n Server in sincronia, raffaele
- indice

Argomento:
- precedente: Re: firewall e policy, Daniele Palumbo
- successivo: Re: firewall e policy, Filippo Tonellotto \(aka Nerd\)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005