Linuxtrent: Re: re Sig. Janeselli

  • From: jclark <jclark@xxxxxxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxxxxxx
  • Date: Wed, 20 Dec 2000 12:31:02 +0100





> jclark writes:
>
>
>
> Ehi, non c'e` bisogno di essere cosi` formali  :-)
> Grazie cercavo di essere il più educato possibile e di rendere l'idea :-)

allora ne approfitto subito per sparare domande in accoppiata alle due persone
che mi hanno dato più spunti e cioè a te e al Sig.Ghirardini.
Nella tua prima risposta cito testualmente dicevi:


> Tra l'altro, il firewall che mi fai vedere non firewalla quasi nulla
> perche` la policy di default per le chain di input e` ACCEPT, il che
> vuol dire che tutto e` permesso, fuorche` cio` che e` negato, ma nelle
> regole non viene negato *nulla*.

percui la regola che ho imposto alla fine e cioè

$IPCHAINS -A input -s $Any -d $localnet -i eth0 -j REJECT

non vale nulla?
se si anche nel caso in cui cambiassi la policy da accept a deny/reject?

>
>
>
> Quanto poi al discorso sull'utilizzo delle GUI, l'ho fatto piu` che
> altro perche` lo script che hai mandato contiene degli errori di
> invocazione dei comandi (ad esempio, ``ipchains -X'' da solo non vuol
> dire nulla, occorre anche specificare una chain da eliminare), e
> questo mi fa pensare che lo strumento (e, intendiamoci, non
> l'utilizzatore) abbia dei problemi.

riprovo immediatamente a reinstallare il tutto avessi mai fatto una qualche
cappella da guinnes nell'ansia di non mettere su roba inutile.


>
>
>
>
> Per il TCP/IP in generale conosco due ottimi libri orientati allo
> sviluppo:
>
> 1) W. Richard Stevens, "TCP/IP Illustrated", vol. 1, 2 e 3, Prentice Hall.
>
> 2) W. Richard Stevens, "UNIX Network Programming", vol. 1 e 2, Prentice Hall.

mi è più chiaro il discorso e mi procurerò i testi consigliati oggi o al più
tardi domani da Hoepli con due carte di credito....


>
>
> Il discorso relativo al consulente esterno l'ho fatto unicamente
> perche` mi dici che c'e` poco tempo, e come dice Ghirardini (che di
> firewall ne ha messi su un bel po' - per cui piu` che me dovresti
> stare a sentire lui)

cito il Sig. Ghirardini

In ogni caso il tuo approccio è corretto, se non che io userei DENY al posto
del REJECT. Lo so che il secondo  più pulito ma il primo, in caso di
scansione, non restituisce alcun icmp di errore e quindi il programma di
scansione deve PER FORZA, andare in timeout. Il 90% dei lamer, dopo aver
atteso invano un'ora da un bel CTRL-C e poi da forfait.

prendere una distribuzione generica di Linux e
"chiuderla" (nel senso di togliere i servizi non necessari o che
possono compromettere la sicurezza) in modo da renderla adatta per
fare un firewall non casalingo non e` un'operazione affatto banale e
richiede una conoscenza approfondita del sistema, visto che c'e` da
mettere a mano a un bel po' di cose.

un consulente esterno che ha supervisionato la cosa lo abbiamo lo interpellerò 
di
nuovo per maggior sicurezza

>
> Mi fa piacere che tu sia disposto a spenderci tempo (visto che lo
> scopo di questo gruppo e` anche convincere la gente a spenderci il
> tempo necessario), solo non ti voglio illudere con il fatto che
> riuscirai subito a ottenere dei risultati eccellenti, specie nel campo
> della sicurezza.

ne sono più che conscio ma VOGLIO imparare e capire e non mi è mai capitato di
farlo senza grande fatica e sbattendoci le crapa un mucchio di volte, l'unica
scorciatoia possibile è quella di imparare da chi ne sà più di me e fare tesoro
delle spiegazioni .

>
>
> Ottimo. Riscusami, ma via mail e` difficile capire con chi si ha a che
> fare al primo colpo, e chiaramente mi sono sbagliato.
>

nessun problema  se fossi un pelo furbo lo avrei specificato


cordiali saluti
M.V. Guenzi

>
>


-- 
PROSSIMA ASSEMBLEA: venerdi` 19 gennaio 2001.

Gestione via web: //freelists.org

Other related posts: