[sanniolug] Re: NESSUS

  • From: Massimiliano Mirra <mmirra@xxxxxxxxx>
  • To: sanniolug@xxxxxxxxxxxxx
  • Date: Fri, 19 Sep 2003 19:43:41 +0200

Ivan Morgillo <ivanmorgillo@xxxxxxxxx> writes:

>> Ma sarebbe meglio metterlo come ACCEPT esplicito in un contesto di
>> DROP generale.
>
> Mirra, porca miseria!!! Mi sta uscendo il sangue dal naso!!!
> [Fine sfogo]

:-)

> Potresti essere piu' chiaro? Lo sai che non mi intendo molto di iptables.

In genere è meglio mettere un DROP come ultima regola nella catena di
input (iptables -A INPUT -j DROP) e definire esplicitamente cosa
lasciar passare (iptables -I INPUT 1 -p tcp --dport 6000 -s 127.0.0.1
localhost) o ancor meglio lasciar passare in INPUT le connessioni di
ritorno a quelle che tu fai in OUTPUT (iptables -I INPUT 1 -m state
--state ESTABLISHED,RELATED -j ACCEPT) o ancor meglio del meglio non
tenere X in ascolto su tcp, tanto in locale usa le Unix socket.

Regola base della sicurezza, comunque, relativa a quanto detto nel
primo punto: vietare tutto, permettere selettivamente ed
esplicitamente.

Other related posts: