Linuxtrent: Re: re Sig. Janeselli

jclark writes:

 > percui se imposto la policy della chain a deny
 > 
 > $IPCHAINS -P input DENY
 > 
 > e rifaccio la sequenza come prima magari aggiungendoci come ulteriore
 > sicurezza la condizione che non possano essere effettuate dall'esterno
 > chiamate da indirizzi della local net dovrebbe darmi un minimo di garanzia

Si. 

Occhio che, come ti dicevo, non e` il caso di specificare le porte
sorgente, perche` le richieste effettuate a un servizio che sta su una
porta generalmente [1] non partono da quella stessa porta.

Per cui, ad esempio, da una regola come

$IPCHAINS -A input -p tcp -s $Any pop3 -d $localnet pop3 -i eth0 -j ACCEPT
                                  ^^^^
andrebbe tolto il primo "pop3", per cui diventa

$IPCHAINS -A input -p tcp -s $Any -d $localnet pop3 -i eth0 -j ACCEPT

Se non lo fai, semplicemente nessuno dovrebbe riuscire ad attaccarsi a
quei servizi.

 > (fermo restando i controlli da fare sull'installazione visto che dici che
 > la gui non funziona come dovrebbe)

Ho ricontrollato pure io, e ho detto male pure qui: ``ipchains -X'' da
solo senza una chain semplicemente rimuove tutte le chain definite
dall'utente (tranne appunto input, output e forward che sono builtin).

Quindi, contrariamente a quello che ho detto prima, che lo script
generato dalla GUI e` (almeno formalmente) corretto. 

Sorry, ma l'ho detto che il professionista non sono io. Altrimenti
(probabilmente) lo farei per soldi, no? :-)


-- 
UNIX diapers by Pannolini USPTO 2039887  http://www.uspto.gov
Matteo Ianeselli      ianezz AT sodalia.it  (+39) 0461 316452
Visita il LinuxTrent:               http://linuxtrent.trew.it

-- 
PROSSIMA ASSEMBLEA: venerdi` 19 gennaio 2001.

Gestione via web: http://freelists.org

Other related posts: