> jclark writes: > > > > Ehi, non c'e` bisogno di essere cosi` formali :-) > Grazie cercavo di essere il più educato possibile e di rendere l'idea :-) allora ne approfitto subito per sparare domande in accoppiata alle due persone che mi hanno dato più spunti e cioè a te e al Sig.Ghirardini. Nella tua prima risposta cito testualmente dicevi: > Tra l'altro, il firewall che mi fai vedere non firewalla quasi nulla > perche` la policy di default per le chain di input e` ACCEPT, il che > vuol dire che tutto e` permesso, fuorche` cio` che e` negato, ma nelle > regole non viene negato *nulla*. percui la regola che ho imposto alla fine e cioè $IPCHAINS -A input -s $Any -d $localnet -i eth0 -j REJECT non vale nulla? se si anche nel caso in cui cambiassi la policy da accept a deny/reject? > > > > Quanto poi al discorso sull'utilizzo delle GUI, l'ho fatto piu` che > altro perche` lo script che hai mandato contiene degli errori di > invocazione dei comandi (ad esempio, ``ipchains -X'' da solo non vuol > dire nulla, occorre anche specificare una chain da eliminare), e > questo mi fa pensare che lo strumento (e, intendiamoci, non > l'utilizzatore) abbia dei problemi. riprovo immediatamente a reinstallare il tutto avessi mai fatto una qualche cappella da guinnes nell'ansia di non mettere su roba inutile. > > > > > Per il TCP/IP in generale conosco due ottimi libri orientati allo > sviluppo: > > 1) W. Richard Stevens, "TCP/IP Illustrated", vol. 1, 2 e 3, Prentice Hall. > > 2) W. Richard Stevens, "UNIX Network Programming", vol. 1 e 2, Prentice Hall. mi è più chiaro il discorso e mi procurerò i testi consigliati oggi o al più tardi domani da Hoepli con due carte di credito.... > > > Il discorso relativo al consulente esterno l'ho fatto unicamente > perche` mi dici che c'e` poco tempo, e come dice Ghirardini (che di > firewall ne ha messi su un bel po' - per cui piu` che me dovresti > stare a sentire lui) cito il Sig. Ghirardini In ogni caso il tuo approccio è corretto, se non che io userei DENY al posto del REJECT. Lo so che il secondo più pulito ma il primo, in caso di scansione, non restituisce alcun icmp di errore e quindi il programma di scansione deve PER FORZA, andare in timeout. Il 90% dei lamer, dopo aver atteso invano un'ora da un bel CTRL-C e poi da forfait. prendere una distribuzione generica di Linux e "chiuderla" (nel senso di togliere i servizi non necessari o che possono compromettere la sicurezza) in modo da renderla adatta per fare un firewall non casalingo non e` un'operazione affatto banale e richiede una conoscenza approfondita del sistema, visto che c'e` da mettere a mano a un bel po' di cose. un consulente esterno che ha supervisionato la cosa lo abbiamo lo interpellerò di nuovo per maggior sicurezza > > Mi fa piacere che tu sia disposto a spenderci tempo (visto che lo > scopo di questo gruppo e` anche convincere la gente a spenderci il > tempo necessario), solo non ti voglio illudere con il fatto che > riuscirai subito a ottenere dei risultati eccellenti, specie nel campo > della sicurezza. ne sono più che conscio ma VOGLIO imparare e capire e non mi è mai capitato di farlo senza grande fatica e sbattendoci le crapa un mucchio di volte, l'unica scorciatoia possibile è quella di imparare da chi ne sà più di me e fare tesoro delle spiegazioni . > > > Ottimo. Riscusami, ma via mail e` difficile capire con chi si ha a che > fare al primo colpo, e chiaramente mi sono sbagliato. > nessun problema se fossi un pelo furbo lo avrei specificato cordiali saluti M.V. Guenzi > > -- PROSSIMA ASSEMBLEA: venerdi` 19 gennaio 2001. Gestione via web: //freelists.org