Re: Consiglio su conf. firewall (un po' lungo)

La configurazione che utilizzi mi sembra faccia pił o meno quello che
hai previsto.

Due note:

1.

se usi rh 7.3 non hai bisogno di fare uno script apposito e modificare i
file di init a mano.

basta attivare iptables:
chkconfig iptables on

questo comando imposta iptables per partire di default nei livelli 3,4,5
PRIMA di tirare su le interfaccie di rete.

e scivere le regole di firewalling nel file /etc/sysconfig/iptables da
cui lo script /etc/init.d/iptables che hai appena attivato legge le
regole

Al massimo se vuoi aggiungere altri settaggi ti consiglio di vedere come
e' fatto /etc/init.d/iptables e fare uno script analogo con start basso
come iptables stesso (riga commentata # chkconfig <numerelli>) e
infilarci eventuali settaggi customizzati aggiuntivi che gia' non siano
previsti nella conf di iptables, cosi' in caso di aggiornamenti e
modifiche varie non devi ricontrollare ogni volta che gli script di init
siano cambiati zappando via le tue modifiche e puoi abilitarlo e
disabilitarlo a piacere tramite il comando chkconfig.

2.

vedo che usi --state ESTABLISHED, RELATED ma non usi mai --state NEW
probabilmente invece di accettare il passaggio indiscriminato di
pacchetti verso un ip:porta, sarebbe meglio ogni volta mettere in testa
alla chain --state ESTABLISHED,RELATED e mettere --state NEW ad ogni
connessione che vuoi permettere, cosi' evititi che passino strani
pacchetti indesiderati.

-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part