urgente:firewall di linux

[robyp]

Ciao

Volevo sapere perpiacere da qualcuno che se ne intende di configurazione di firewall linux iptables se la configurazione qua sotto permette ad un host conesso ad una LAN tramite interfaccia eht1 di vedere pagine web, ricevere e mandare posta elettronica, utilizzare il servizio DHCP e DNS(mi serve per un esame):

//svuoto tutte le catene di regole
iptables -F

//politica di default:blocco tutti i paccheti se non esiste nessuna regola
//che fa match
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

//interfaccia da usare eth1
//accetto tutto il traffico sulle altre interfaccie che non siano eth1
iptables -A INPUT -i !eth1 -j ACCEPT
iptables -A OUTPUT -o !eth1 -j ACCEPT

//abilito su eth1 porte nel seguente ordine: dhcp, dns, www, mail
iptables -A INPUT -p udp --destination-port 67 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 67 -j ACCEPT
iptables -A OUTPUT -p udp --source-port 67 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 67 -j ACCEPT

iptables -A INPUT -p udp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A OUTPUT -p udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 53 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 80 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 110 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 25 -j ACCEPT


E' giusta?

Grazie mille!
Roby

[griphon]

Sembra tutto ok; per il DHCP devi aggiungere anche la porta udp 68. Io aggiungerei anche la porta tcp 443 per le pagine html protette (HTTPS) e volendo anche le tcp 20 e 21 per eventuali download da siti ftp.
Se poi, essendo in una rete locale, devi anche utilizzare condivisioni di windows (share) anche sotto linux (samba) devi attivare le relative porte, compresa quella del netbios.
Per le porte esatte, trovi una lista qui:

http://it.wikipedia.org/wiki/Lista_di_porte_standard

[robyp]

ok..pero' non capisco del dhcp perchè aprire la porta 68 udp/tcp? non dovrebbe essere libera solo se l'host fa da server dhcp?

grazie!

Originariamente inviato da robyp
Ciao

Volevo sapere perpiacere da qualcuno che se ne intende di configurazione di firewall linux iptables se la configurazione qua sotto permette ad un host conesso ad una LAN tramite interfaccia eht1 di vedere pagine web, ricevere e mandare posta elettronica, utilizzare il servizio DHCP e DNS(mi serve per un esame):

//svuoto tutte le catene di regole
iptables -F

//politica di default:blocco tutti i paccheti se non esiste nessuna regola
//che fa match
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

//interfaccia da usare eth1
//accetto tutto il traffico sulle altre interfaccie che non siano eth1
iptables -A INPUT -i !eth1 -j ACCEPT
iptables -A OUTPUT -o !eth1 -j ACCEPT

//abilito su eth1 porte nel seguente ordine: dhcp, dns, www, mail
iptables -A INPUT -p udp --destination-port 67 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 67 -j ACCEPT
iptables -A OUTPUT -p udp --source-port 67 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 67 -j ACCEPT

iptables -A INPUT -p udp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A OUTPUT -p udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 53 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 80 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 110 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 25 -j ACCEPT


E' giusta?

Grazie mille!
Roby

[griphon]

Sembra che la porta 68 udp sia utilizzata dall'host client dhcp, come descritto nella lista indicata.