Ciao,
ho la necessita di configurare iptables su un server mio in modo da poter rendere visibili verso internet i servizi Web (80) e Ftp (20/21) e SSH, e bloccare tutto il resto.
Con iptables che policy posso impostare per fare una cosa di questo genere?
Grazie
man iptables
www.ixquick.com
search del forum
L'ultima Xubuntu su Notebook Dual core 1,5 GHz e 2 Giga di RAM
"Free as in Free speech not as in free beer"
GDR Sperimentale
Pensavo a
iptables -P INPUT DROP
# ovvero di default blocco tutto
iptables -A INPUT -i lo -j ACCEPT
# faccio passare tutto sulla loopback
iptables -A OUTPUT -m state --state NEW -j ACCEPT
# accetto tutte le connessioni nuove in uscita
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# e accetto tutte le risposte...
#porte personalizzate
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #web
iptables -A INPUT -p tcp --dport 20 -j ACCEPT #ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #ftp
Che ne dite ?
good
L'ultima Xubuntu su Notebook Dual core 1,5 GHz e 2 Giga di RAM
"Free as in Free speech not as in free beer"
GDR Sperimentale
Quindi avrei
# Generated by iptables-save v1.2.11 on Sat Dec 23 19:55:51 2006
*filter
:INPUT DROP [2:128]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [153:19876]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -m state --state NEW -j ACCEPT
COMMIT
In questo modo chiudo veramente tutte le porte tranne quelle indicate o lascio quelle "alte" aperte?
si chiudi tutte le altre porte..
ma io chiuderei anche tutte le comunicazioni in uscita che non siano per quelle porte..
cioè quelle regole che accettano in output le nuove connessioni e in input che risposte a queste connessioni..se il server ha solo i servizi che necessitano delle porte a cui hai dato le regole ad hoc..
non vedo il perchè di quelle regole..meno roba cè meglio è..
comuqnue come firewall base va più che bene..in ogni caso in rete trovi molti howto per il firewalling avanzato con iptables e altri strumenti..vedi quanto vuoi sbatterti..
L'ultima Xubuntu su Notebook Dual core 1,5 GHz e 2 Giga di RAM
"Free as in Free speech not as in free beer"
GDR Sperimentale
Quindi mi conviene levare
-A OUTPUT -m state --state NEW -j ACCEPT
nello script, giusto?
In questo modo il server non puo comunicare se non tramite quelle porte
aperte...?
GRAZIE
P.s.... ho problemi con ftp, dopo il login non ricevo la lista dei file. Il problema è del fw sicuramente perche se lo disattivo non ho problemi, secondo te cos'ho sbagliato?
prova a rimettere la regola che hai tolto dopo il mio consiglio se tutto funza..lasciala cosi che va comunque bene..probabilmente il server usa un altra porta per mandarti la lista dei file che non è tra quelle specificate..
L'ultima Xubuntu su Notebook Dual core 1,5 GHz e 2 Giga di RAM
"Free as in Free speech not as in free beer"
GDR Sperimentale
Permessi di invio
Rispondi quotando