Pc in dmz, rispolverare iptables

[gianiaz]

Ciao, ho un pc messo in DMZ, quindi totalmente esposto sulla rete.

Ho fatto un check delle porte con un tool online, e vedo aperte le porte di samba.

In samba ho configurato la riga:

codice:

hosts allow = 127.0.0.1 192.168.0.0/24

Quindi non dovrei avere problemi di sicurezza relativa alla condivisione dei files, ma non so se è un bene comunque avere aperte queste porte.

Anni fa avevo fatto degli esperimenti con iptables, ma avevo 2 schede di rete e quindi bloccavo il traffico che arrivava dall'interfaccia esterna.

Sto cercando un esempio ma in rete ma sto trovando solo esempi che ricadono nel caso precedente.

E' possibile con iptables scrivere una regola che dica, "chiudi le porte 139 e 145 per le richieste che arrivano da ip diverso da 192.168.0.0/24" ?

Grazie

[gianiaz]

Grazie a questo howto https://help.ubuntu.com/community/IptablesHowTo e un po' di altre risorse in rete ho scritto questo, mi dite se vedete qualcosa di strano?

Il mio intento è di:

1. aprire l'ssh sulla porta 1027 anche dall'esterno.
2. aprire le porte per il file sharing dall'esterno
3. aprire la visualizzazione del desktop da rete locale
4. aprire le porte di samba solo da locale
5. chiudere tutto il resto

codice:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 1027 -j ACCEPT
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4667 -j ACCEPT
iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT
iptables -A INPUT -j DROP

Ciao, grazie