jclark writes: > percui se imposto la policy della chain a deny > > $IPCHAINS -P input DENY > > e rifaccio la sequenza come prima magari aggiungendoci come ulteriore > sicurezza la condizione che non possano essere effettuate dall'esterno > chiamate da indirizzi della local net dovrebbe darmi un minimo di garanzia Si. Occhio che, come ti dicevo, non e` il caso di specificare le porte sorgente, perche` le richieste effettuate a un servizio che sta su una porta generalmente [1] non partono da quella stessa porta. Per cui, ad esempio, da una regola come $IPCHAINS -A input -p tcp -s $Any pop3 -d $localnet pop3 -i eth0 -j ACCEPT ^^^^ andrebbe tolto il primo "pop3", per cui diventa $IPCHAINS -A input -p tcp -s $Any -d $localnet pop3 -i eth0 -j ACCEPT Se non lo fai, semplicemente nessuno dovrebbe riuscire ad attaccarsi a quei servizi. > (fermo restando i controlli da fare sull'installazione visto che dici che > la gui non funziona come dovrebbe) Ho ricontrollato pure io, e ho detto male pure qui: ``ipchains -X'' da solo senza una chain semplicemente rimuove tutte le chain definite dall'utente (tranne appunto input, output e forward che sono builtin). Quindi, contrariamente a quello che ho detto prima, che lo script generato dalla GUI e` (almeno formalmente) corretto. Sorry, ma l'ho detto che il professionista non sono io. Altrimenti (probabilmente) lo farei per soldi, no? :-) -- UNIX diapers by Pannolini USPTO 2039887 http://www.uspto.gov Matteo Ianeselli ianezz AT sodalia.it (+39) 0461 316452 Visita il LinuxTrent: http://linuxtrent.trew.it -- PROSSIMA ASSEMBLEA: venerdi` 19 gennaio 2001. Gestione via web: //freelists.org