Re: [ml] Problema con Iptables

On 11/22/05, Michele Salerno <salerno@xxxxxxxxx> wrote:
> Prima di tutto vorrei sapere se con questo script la macchina si può
> ritenere sicura,

"ritenere sicura..." credo che a questa domanda mai nessuno ti darà
una risposta!

> iptables -I INPUT -p icmp --icmp-type echo-request -j ULOG
> --ulog-nlgroup 1 --ulog-prefix "ICMP_DROP: "

Logghi tutti gli echo-request e non il resto? Perchè? Hai previsto
adeguato spazio su disco e/o meccanismi che ti proteggano da DoS per
evetuale file system full?

> iptables -I INPUT -m state --state INVALID -j ULOG --ulog-nlgroup 1
> --ulog-prefix "INVALID: "
> iptables -I INPUT -p tcp ! --syn -m state --state NEW -j ULOG
> --ulog-nlgroup 1 --ulog-prefix "NEW_INCORRECT: "

Non sono sicuro ma credo che se quest'ultima regola viene metchata
allora viene metchata anche la precedente. E' quello che vuoi?

> iptables -A INPUT -i $INET -m state --state NEW -p tcp -j ACCEPT
> iptables -A INPUT -i $LAN  -m state --state NEW -j ACCEPT
> iptables -A INPUT -i $INET -p tcp --dport ssh -j ULOG --ulog-nlgroup 1
> --ulog-prefix="SSH: "

Credo che questa regola non verrà mai matchata: se è un pacchetto
relativo ad una nuova connessione allora viene matchata la -i $INET -m
state --state NEW; se è un pachetto relatico ad una connessione gia
stabilita allora c'è la ESTABLISHED,RELATED.

Credo di averti dato qualche indicazione. Un ultimo suggerimento:
implementa le regole su un linux qualunque, fai qualche prova e
crtamente ti accorgi se ci sono macro errori.

Ciao,
Alessandro.