Ho deciso di creare uno script per iptables a farlo iniziare così:modprobe ipt_LOG<br />modprobe ip_conntrack<br />modprobe ip_conntrack_ftp<br />modprobe ipt_multiport<br /># blocco i ping verso la mia macchina<br />echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_all<br />echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br /># attivo protezione contro attacchi Spoofing<br />echo '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />echo '1' > /proc/sys/net/ipv4/tcp_syncookies<br />echo '1' > /proc/sys/net/ipv4/conf/all/rp_filter<br /># logga in /var/log/messages i pacchetti malformati e scartati automaticamente<br />echo '1' > /proc/sys/net/ipv4/conf/all/log_martians<br />echo '0' > /proc/sys/net/ipv4/conf/all/accept_source_route<br />echo '0' > /proc/sys/net/ipv4/conf/all/accept_redirects<br /># configurazione politica di default per la tabella filter<br />iptables -t filter -P INPUT DROP<br />iptables -t filter -P OUTPUT DROP<br />iptables -t filter -P FORWARD DROP
Considerando che ho un solo pc collegato in rete tramite modem usb, quindi non mi serve fare da gateway nè tantomeno da server, secondo voi, è necessario inserire anche la politica di default per le tabelle nat e mangle, cioè iptables -t nat -P PREROUTING ACCEPT etc...? Posso passare quindi direttamente alle regole personali evitando di inserire quelle?
Script iptables
Quote:
andreas485 ha scritto:
Quote:
Considerando che ho un solo pc collegato in rete tramite modem usb, quindi non mi serve fare da gateway nè tantomeno da server, secondo voi, è necessario inserire anche la politica di default per le tabelle nat e mangle,
No, non é assolutamente necessario dato che nessun pacchetto transiterà su di esse.
Scusa ancora, per far caricare le regole dello script so che devo salvarlo in /etc/init.d e linkarlo nei vari runlevel, però, il testo dello script devo farlo iniziare con la seguente sintassi?#!/bin/sh<br />iptables="/sbin/iptables"<br />modprobe ipt_LOG<br />...
Oppure è errata?
Per quanto riguarda invece la politica della tabella filter è meglio inserire iptables -t filter -P INPUT DROP oppure iptables -P INPUT DROP? Grazie 
No, non é scorretto, dovrebbe solo in parte essere superfluo.
La directory /sbin appartiene naturalmente al PATH del superuser, quindi specificare iptables="/sbin/iptables"
si rivelerebbe necessario se ci fosse qualche impostatzione errata nel sistema.
Quote:
modprobe ipt_LOG
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_multiport
Normalmente come helper viene utilizzato
modprobe ip_conntrack_ftp
(vedi sorgenti del kernel), gli altri moduli dovrebbero caricarsi automaticamente; ma, comunque,
questa scrittura non provoca inconvenienti.
Quote:
Per quanto riguarda invece la politica della tabella filter è meglio inserire
iptables -t filter -P INPUT DROP
oppure
iptables -P INPUT DROP
E' indifferente, per le catene di INPUT, OUTPUT e FORWARD filter resta sottointeso.
definire invece<br /># Turn on traffic filtering<br />*filter<br /><br /># Block all incoming<br />:INPUT DROP [0:0]<br />
è la stessa cosa no?
Quote:
definire invece
# Turn on traffic filtering
*filter
# Block all incoming
:INPUT DROP [0:0]
è la stessa cosa no?
No, questa é una scrittura comprensibile solo da iptables (ad esempio generata
dal comando iptables-save); mentre quello di absolomm vuole essere uno script di bash.
Bash non saprebbe leggere quest'altra sintassi.
Quote:
No, non é assolutamente necessario dato che nessun pacchetto transiterà su di esse.