[Linuxtrent] Re: firewall

  • From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Wed, 20 Apr 2005 16:13:51 +0200

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

| ip di eth0 Ã il classico 192.168.1.3,
| mentre sia che mi collego al mio router via http sia che controllo su
| sygate, l'ip che sta scannando à tipo 153.123.x.x (ossia sono gli
stessi).
|
| Da qui deduco che sto scannando il firewall del mio router, giusto?

Non à possibile saperlo se non sai come à configurato il tuo router.
Se per esempio il tuo router Natta l'IP esterno sul tuo interno allora
lo scan à del tuo PC.
Se il router esegue invece solo il Nat in uscita allora lo scan Ã
relativo al router.

| C'à la possibilità di scannare il mio pc, per vedere quali porte sono
| aperte/chiuse/bloccate?

Ti attacchi con un altro PC sulla stessa rete e da là fai un nmap
verso il tuo PC

Eccoti 3 semplici regole per chiudere tutto in ingresso e lasciare
tutto aperto in uscita:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Traduzione:
- - Di default blocca tutto in ingresso
- - Di default blocca tutto in forward
- - Di default consenti tutto in uscita
- - Abilita le comunicazioni sul loopback (verso 127.0.0.1)
- - In ingresso lascia entrare le connessioni relazionate a quelle
~  uscenti (leggasi per esempio trasferimento ftp attivo)-

Se poi vuoi abilitare qualche altra porta basta che aggiungi regole in
INPUT; per esempio per abilitare l'ammistrazione remota via SSH:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Analogamente se hai un Web server in locale da rendere accessibile:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Poi esiste l'ottimo "man iptables" e dei buoni howto su www.netfilter.org

Ciao

- --
Flavio Visentin

|                     \|||/
|                    @/0.0\@
|                     \ - /
+------------------oOOo---oOOo------------------

There are only 10 types of people in this world:
those who understand binary, and those who don't.

GPG Key: http://www.zipman.it/gpgkey.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFCZmOfusUmHkh1cnoRAhEGAJ46dX0442PtCiDnfbTeTX6sJ6UAMACeKjYN
U25ybWH0YL1eE3CKB+indp0=
=NSR0
-----END PGP SIGNATURE-----
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx


Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 04-2005