Linuxtrent: Re: re Sig. Janeselli
- From: Matteo Janeselli <ianezz@xxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxxxxxx
- Date: Wed, 20 Dec 2000 16:06:09 +0100
jclark writes:
> percui se imposto la policy della chain a deny
>
> $IPCHAINS -P input DENY
>
> e rifaccio la sequenza come prima magari aggiungendoci come ulteriore
> sicurezza la condizione che non possano essere effettuate dall'esterno
> chiamate da indirizzi della local net dovrebbe darmi un minimo di garanzia
Si.
Occhio che, come ti dicevo, non e` il caso di specificare le porte
sorgente, perche` le richieste effettuate a un servizio che sta su una
porta generalmente [1] non partono da quella stessa porta.
Per cui, ad esempio, da una regola come
$IPCHAINS -A input -p tcp -s $Any pop3 -d $localnet pop3 -i eth0 -j ACCEPT
^^^^
andrebbe tolto il primo "pop3", per cui diventa
$IPCHAINS -A input -p tcp -s $Any -d $localnet pop3 -i eth0 -j ACCEPT
Se non lo fai, semplicemente nessuno dovrebbe riuscire ad attaccarsi a
quei servizi.
> (fermo restando i controlli da fare sull'installazione visto che dici che
> la gui non funziona come dovrebbe)
Ho ricontrollato pure io, e ho detto male pure qui: ``ipchains -X'' da
solo senza una chain semplicemente rimuove tutte le chain definite
dall'utente (tranne appunto input, output e forward che sono builtin).
Quindi, contrariamente a quello che ho detto prima, che lo script
generato dalla GUI e` (almeno formalmente) corretto.
Sorry, ma l'ho detto che il professionista non sono io. Altrimenti
(probabilmente) lo farei per soldi, no? :-)
--
UNIX diapers by Pannolini USPTO 2039887 http://www.uspto.gov
Matteo Ianeselli ianezz AT sodalia.it (+39) 0461 316452
Visita il LinuxTrent: http://linuxtrent.trew.it
--
PROSSIMA ASSEMBLEA: venerdi` 19 gennaio 2001.
Gestione via web: //freelists.org
Other related posts: