IPTABLES, mi sono imparato? :-)

[pilovis]

Vediamo se ho capito il funzionamento di IPTABLES.

potete controllare e dirmi se le seguenti regole sono tutte giuste?

Grazie

---------
IPTABLES
---------

Premessa

Ammesso che eth0 e' in ingresso (lato router) con IP 192.168.1.21,
eth1 verso la rete interna (lato LAN) con IP 10.0.0.2,
il router IP 192.168.1.1

Il gateway della eth0 e' IP del router (192.168.1.1),
il gateway della eth1 e' l'IP di eth0 (192.168.1.21),
il gateway del clients della rete interna e' l'IP di eth1 (10.0.0.2)


----------------------------------------------------------------------


- Pulizia delle regole

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

- NAT (tutto chiuso in entrata e tutto aperto in uscita)

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -o eth0 -j MASQUERADE

NOTA: La prima riga forwarda i pacchetti, la seconda esegue il NAT dalla eth0 alla eth1


----------------------------------------------------------------------

- Regola per bloccare la porta 80 e 443 in uscita (per obbligarli a passare dal proxy):

http

iptables -A FORWARD -p tcp --dport 80 -o eth0 -j DROP

https

iptables -A FORWARD -p tcp --dport 443 -o eth0 -j DROP


----------------------------------------------------------------------

- Bloccare i broadcast (smurf attacks)

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts


----------------------------------------------------------------------

- Blocca ?

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


----------------------------------------------------------------------

- Blocca i PING

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


----------------------------------------------------------------------

- Blocca Net Bios e Samba (?)

iptables -t nat -A PREROUTING -p TCP -i eth1 --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i eth1 --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i eth1 --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i eth1 --dport 445 -j DROP


----------------------------------------------------------------------

Apre le porte in ingresso da internet verso LAN (porta TCP 3389 in questo caso)

iptables -t nat -A PREROUTING -d 192.168.1.21 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389


----------------------------------------------------------------------

Proxy trasparente, reindirizza la 80 sulla porta di squid (3128)

per http

iptables -t nat -A PREROUTING -i eth1 -s ! 10.0.0.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

per https

iptables -t nat -A PREROUTING -i eth1 -s ! 10.0.0.2 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128


Avete altre regole da suggerirmi?

[pilovis]

ERRORE!

Apre le porte in ingresso da internet verso LAN (porta TCP 3389 in questo caso)

iptables -t nat -A PREROUTING -d 192.168.1.21 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2 :3389

Al posto di 10.0.0.2 (eth1) va messo l'IP della macchina interna a cui forwardare la porta

[pilovis]

azz, mi sono accorto di un altro errore

- NAT (tutto chiuso in entrata e tutto aperto in uscita)

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -o eth0 -j MASQUERADE

Essendo la netmask 255.0.0.0 deve essere 10.0.0.0/8

se invece la netmask fosse 255.255.255.0 allra andrebbe bene /24

[Caleb]

posso consigliarti easytables per vivere felice

[Sergio Pedone]

Pillovis, mi permetto di darti un piccolo ma prezioso
suggerimento:
imposta le policy delle catene a DROP,
poi definisci le regole per concedere
il passaggio di alcuni pacchetti.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Ciao.