Iptables
iDave
idave a idave.it
Mer 17 Dic 2003 18:15:30 UTC
Ciso a tutti!
Ho questo bello script di configurazione di iptables (per un server). I
servizi funzionano praticamente tutti. Il fatto รจ che io non riesco a uscire
con un semplice wget qualchecosa...
IPTABLES="/sbin/iptables"
echo -n "Piallo la configurazione attuale.."
$IPTABLES -P INPUT ACCEPT
echo -n "."
$IPTABLES -F
echo -n "."
$IPTABLES -Z
echo -n "."
$IPTABLES -t mangle -F
echo -n "."
$IPTABLES -t nat -F
echo -n "."
echo " Fatto!"
echo ""
echo -n "Incominciamo a filtrare le puttanate.."
# Qui filtriamo i pacchetti merdosi!!!
$IPTABLES -A INPUT -m unclean -j DROP
echo -n "."
# Proteggiamoci dall ICMP DoS
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 8 -m lenght --lenght
128:65535 -j DROP
echo -n "."
# Blocca e ignora i pacchetti ICMPv4 che
# contengono un messaggio di tipo 8, cioe'
# echo-request (PING)
$IPTABLES -A INPUT -p icmp --icmp-type 8 -j DROP
echo -n "."
# Protezione contro un tentativo di scansione delle porte TCP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
echo -n "." && echo -n "."
# Protezione dalle connessioni che non hanno motivo di esistere
#$IPTABLES -A INPUT -m state --state INVALID -j DROP
echo -n "."
# Ma non diciamo fesserie!!!
$IPTABLES -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
#$IPTABLES -A FORWARD -s 127.0.0.0/8 -i ! lo -j DROP
echo -n "."
echo " Fatto!"
echo ""
echo -n "Ora ci occupiamo delle regole dei servizi vari.."
$IPTABLES -A INPUT -f -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i lo -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i lo -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 80 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 21 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 20 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p udp --dport 20 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 22 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 25 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 53 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p udp --dport 53 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 110 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 143 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 10000 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 443 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 30000 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 3306 -j ACCEPT && echo -n "."
$IPTABLES -A INPUT -i ! lo -p tcp --dport 113 -j REJECT && echo -n "."
echo " Fatto!"
echo ""
echo -n "Ed ora, il gran finale, le policy.."
$IPTABLES -P INPUT DROP && echo -n "."
#$IPTABLES -P FORWARD DROP && echo -n "."
$IPTABLES -P OUTPUT ACCEPT && echo -n "."
echo " Fatto!"
echo ""
Come faccio?
Grazie, iDave
++++++++++++++++++++++++++++++++++++++++++++++++++++++
+ iDave - idave (at) idave.it - http://idave.it/ +
+ ICQ# 128602582 - Linux registered user #281540 +
++++++++++++++++++++++++++++++++++++++++++++++++++++++
+ Chi la fa l'aspetti. Chi non la fa si purghi. +
++++++++++++++++++++++++++++++++++++++++++++++++++++++
_________________________________________________________________
Il servizio Postemail sottopone tutti i documenti a una scansione
automatica antivirus con i programmi TREND MICRO.
Maggiori informazioni sulla lista
Lug
|
