Chiarimenti firewall

[marasma1]

Ciao a tutti, sto configurando un firewall per la mia rete interna:
pc linux con collegamento adsl sull'interfaccia ppp0 con installato il firewall iptables.
Pc windows dietro il firewall linux,collegato sulla sua eth0.

Ho letto il tutorial http://sicurezza.html.it/articoli/le...l-per-linux/1/
e ho adottato la policy predefinita di DROP sulle catene INPUT,OUTPUT, FORWARD (come consiglia il tutorial)
Pero' non capisco mi e' chiara una cosa, i seguenti comandi:
iptables -A FORWARD -i ppp0 -m state -state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -m state -state NEW,RELATED,ESTABLISHED -j ACCEPT

Permettono al pc windows di creare nuove connessioni dalla rete interna verso l'esterno.
Pero' in questo modo, non c'e' bisogno di aprire le singole porte dei servizi quali ad esempio ftp, dns, ecc... Praticamente ad ogni nuova richiesta del pc windows, tutte le porte si aprono.E' sicura come scelta oppure ho sbagliato qualcosa nella configurazione?
Ciao grazie.

[marasma1]

[Gionnico]

Originariamente inviato da marasma1
iptables -A FORWARD -i ppp0 -m state -state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -m state -state NEW,RELATED,ESTABLISHED -j ACCEPT

Questo NON permette nuove connessioni verso windows dall'esterno..

Permettono al pc windows di creare nuove connessioni dalla rete interna verso l'esterno.

Si.

Pero' in questo modo, non c'e' bisogno di aprire le singole porte dei servizi quali ad esempio ftp, dns, ecc...

Parli di servizi .. hai installato dei server su windows o si tratta solo di utilizzare i client?
Se hai un server C'E' bisogno di permettere nuove connessioni in ingresso sulla porta specifica.

Praticamente ad ogni nuova richiesta del pc windows, tutte le porte si aprono.E' sicura come scelta oppure ho sbagliato qualcosa nella configurazione?

In genere ci si fida della rete interna e a maggior ragione del proprio pc.

Se però sospetti di poter beccare un trojan o una backdoor che inviano dati senza il tuo permesso potresti fare sul firewall

codice:

iptables -A FORWARD -i ppp0 -m state -state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -m state -state RELATED,ESTABLISHED -j ACCEPT 
iptables -A FORWARD -i eth0 -m state -state NEW -p tcp --dport 80 -j ACCEPT

Ad esempio consente solamente al browser di aprire una connessione. E poi anche per ogni altro programma che vuoi far comunicare è necessario aprire le porte specifiche.

Se ti fa sentire più sicuro, puoi fare così

[marasma1]

No, non ho server su windows, lo uso solo come client.
Da quanto mi dici, puo' andare bene cosi.
Evito di farmi il mazzo a cercare tutte le porte che devo aprire.
Grazie 1000!