Ho iniziato da poco ad impratichirmi con iptables.
Utilizzo una Debian Lenny
Le domande che (per ora) mi vengono in mente sono queste
1. che differenza c'è tra queste due (ipotetiche) regole?
Apperenemente mi inducono a pensare che non ci sia alcuna differenza...codice:iptables -A mychain -s <BAD_HOST> -p tcp -syn -j TARGET iptables -A mychain -s <BAD_HOST> -p tcp -m state --state NEW -j TARGET
2. se creo una regola per il log con opzione --log-level info , i messaggi vengono registrati nel file /var/log/messages.
Come faccio a configurare il file syslog.conf in modo tale che tutti i messaggi del firewall linux vengano registrati su un file separato.
Il fatto è che il mio file syslog.conf è così configurato
quindi tutti i messaggi con priorità info vanno a finire in quel file. Io vorrei che SOLAMENTE i messaggi del firewall vengano loggati su un altro file...codice:*.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ local0,mail,news.none -/var/log/messages
3. Nonostante abbia letto in lungo e in largo per il web, non riesco a capire come poter utilizzare l'estensione limit. Sia in relazione ai log sia in relazione ad attacchi.
Per esempio, mi piacerebbe utilizzarlo per impedire le continue connessioni al server ftp.
Quello che vorrei fare è dire al firewall che, dopo un certo numero numero di tentativi di connessione da parte dello stesso ip, i pacchetti sono da rifiutare...
Avevo trovato questo link
http://www.debian-administration.org/articles/187
dove però viene utilizzato un modulo differente ( -m recent ) attraverso la quale viene implementato quello che vorrei fare io.
Si può fare qualcosa di simile usando il modulo limit?
4. Quale procedura mi consigliereste per rendere le regole permanenti?
Un grazie di cuore a chiunque abbia voglia di perdere un pochetto del suo tempo...
Rispondi quotando