<ul class="auto-toc">
<li>
- <a class="reference internal" href="#imap-e-pop" id=
- "id74" name="id74">8.1 Imap e
- pop</a>
+ <a class="reference internal" href=
+ "#test-del-server-smtp" id="id74" name=
+ "id74">8.1 Test del server smtp</a>
+
+ <ul class="auto-toc">
+ <li><a class="reference internal" href="#swaks" id=
+ "id75" name=
+ "id75">8.1.1 Swaks</a></li>
+ </ul>
+ </li>
+
+ <li><a class="reference internal" href="#imap-e-pop"
+ id="id76" name="id76">8.2 Imap e
+ pop</a></li>
+
+ <li>
+ <a class="reference internal" href=
+ "#client-a-riga-di-comando" id="id77" name=
+ "id77">8.3 Client a riga di
+ comando</a>
+
+ <ul class="auto-toc">
+ <li><a class="reference internal" href="#mailx" id=
+ "id78" name=
+ "id78">8.3.1 mailx</a></li>
+
+ <li><a class="reference internal" href="#mutt" id=
+ "id79" name=
+ "id79">8.3.2 Mutt</a></li>
+
+ <li><a class="reference internal" href=
+ "#web-client" id="id80" name=
+ "id80">8.3.3 Web client</a></li>
+ </ul>
+ </li>
+
+ <li>
+ <a class="reference internal" href="#graylisting" id=
+ "id81" name=
+ "id81">8.4 Graylisting</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#web-client" id="id75" name=
- "id75">8.1.1 Web client</a></li>
+ "#abilitazione-in-postfix" id="id82" name=
+ "id82">8.4.1 Abilitazione in
+ Postfix</a></li>
+
+ <li><a class="reference internal" href="#test" id=
+ "id83" name=
+ "id83">8.4.2 Test</a></li>
+
+ <li><a class="reference internal" href=
+ "#statistiche" id="id84" name=
+ "id84">8.4.3 Statistiche</a></li>
</ul>
</li>
</ul>
</li>
<li>
- <a class="reference internal" href="#firewall" id="id76"
- name="id76">9 Firewall</a>
+ <a class="reference internal" href="#firewall" id="id85"
+ name="id85">9 Firewall</a>
<ul class="auto-toc">
<li><a class="reference internal" href="#links" id=
- "id77" name="id77">9.1 Links</a></li>
+ "id86" name="id86">9.1 Links</a></li>
<li><a class="reference internal" href="#ipfilter" id=
- "id78" name=
- "id78">9.2 Ipfilter</a></li>
+ "id87" name=
+ "id87">9.2 Ipfilter</a></li>
<li>
<a class="reference internal" href=
- "#progettazione-di-un-firewall" id="id79" name=
- "id79">9.3 Progettazione di un
+ "#progettazione-di-un-firewall" id="id88" name=
+ "id88">9.3 Progettazione di un
firewall</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#collocazione" id="id80" name=
- "id80">9.3.1 Collocazione</a></li>
+ "#collocazione" id="id89" name=
+ "id89">9.3.1 Collocazione</a></li>
<li><a class="reference internal" href=
- "#policy-di-default" id="id81" name=
- "id81">9.3.2 Policy di
+ "#policy-di-default" id="id90" name=
+ "id90">9.3.2 Policy di
default</a></li>
<li><a class="reference internal" href="#hardware"
- id="id82" name=
- "id82">9.3.3 Hardware</a></li>
+ id="id91" name=
+ "id91">9.3.3 Hardware</a></li>
</ul>
</li>
<li><a class="reference internal" href=
"#percorso-dei-pacchetti-tra-tabelle-e-catene" id=
- "id83" name="id83">9.4 Percorso dei
+ "id92" name="id92">9.4 Percorso dei
pacchetti tra tabelle e catene</a></li>
<li>
<a class="reference internal" href=
- "#concetti-di-base" id="id84" name=
- "id84">9.5 Concetti di base</a>
+ "#concetti-di-base" id="id93" name=
+ "id93">9.5 Concetti di base</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#tabelle-catene-regole" id="id85" name=
- "id85">9.5.1 Tabelle, catene,
+ "#tabelle-catene-regole" id="id94" name=
+ "id94">9.5.1 Tabelle, catene,
regole</a></li>
<li><a class="reference internal" href="#match" id=
- "id86" name=
- "id86">9.5.2 Match</a></li>
+ "id95" name=
+ "id95">9.5.2 Match</a></li>
<li><a class="reference internal" href="#targets"
- id="id87" name=
- "id87">9.5.3 Targets</a></li>
+ id="id96" name=
+ "id96">9.5.3 Targets</a></li>
</ul>
</li>
<li><a class="reference internal" href=
- "#tabella-filter" id="id88" name=
- "id88">9.6 Tabella Filter</a></li>
+ "#tabella-filter" id="id97" name=
+ "id97">9.6 Tabella Filter</a></li>
<li><a class="reference internal" href=
- "#flush-automatico-per-macchine-remote" id="id89" name=
- "id89">9.7 Flush automatico per
+ "#flush-automatico-per-macchine-remote" id="id98" name=
+ "id98">9.7 Flush automatico per
macchine remote</a></li>
<li><a class="reference internal" href=
- "#gestione-regole-rules" id="id90" name=
- "id90">9.8 Gestione regole
+ "#gestione-regole-rules" id="id99" name=
+ "id99">9.8 Gestione regole
(rules)</a></li>
<li>
<a class="reference internal" href=
- "#salvataggio-regole" id="id91" name=
- "id91">9.9 Salvataggio regole</a>
+ "#salvataggio-regole" id="id100" name=
+ "id100">9.9 Salvataggio regole</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#iptables-save" id="id92" name=
- "id92">9.9.1 Iptables-save</a></li>
+ "#iptables-save" id="id101" name=
+ "id101">9.9.1 Iptables-save</a></li>
<li><a class="reference internal" href=
- "#iptables-restore" id="id93" name=
- "id93">9.9.2 Iptables-restore</a></li>
+ "#iptables-restore" id="id102" name=
+ "id102">9.9.2 Iptables-restore</a></li>
</ul>
</li>
<li>
<a class="reference internal" href="#esempi" id=
- "id94" name="id94">9.10 Esempi</a>
+ "id103" name="id103">9.10 Esempi</a>
<ul class="auto-toc">
<li><a class="reference internal" href=
- "#bloccare-i-ping-dall-esterno" id="id95" name=
- "id95">9.10.1 Bloccare i ping
+ "#bloccare-i-ping-dall-esterno" id="id104" name=
+ "id104">9.10.1 Bloccare i ping
dall'esterno</a></li>
<li><a class="reference internal" href=
- "#masquerading-snat" id="id96" name=
- "id96">9.10.2 Masquerading
+ "#masquerading-snat" id="id105" name=
+ "id105">9.10.2 Masquerading
(sNAT)</a></li>
<li><a class="reference internal" href=
- "#brute-force" id="id97" name=
- "id97">9.10.3 Brute force</a></li>
+ "#brute-force" id="id106" name=
+ "id106">9.10.3 Brute
+ force</a></li>
</ul>
</li>
</ul>
</li>
- <li><a class="reference internal" href="#note" id="id98"
- name="id98">10 NOTE</a></li>
+ <li><a class="reference internal" href="#note" id="id107"
+ name="id107">10 NOTE</a></li>
</ul>
</div>
"#id73">8 Server di posta: Postfix</a></h1>
<p>Il server di posta che prenderemo in considerazione e'
- Postfix, a seguire un estratto di un file do configurazione
+ Postfix, a seguire un estratto di un file di configurazione
<em>semplice</em> con l'abilitazione delle <em>Maildir</em>
nelle <tt class="docutils literal"><span class=
"pre">/home</span></tt> degli utenti per la consegna della
# Se non avete un ip pubblico e statico, con un adeguato record PTR
# dovrete usare un realy host per l'invio della posta
relayhost = smtp.piffa.net
+
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
+# Se dovete inviare la posta per i client della vostra LAN privata:
+# mynetworks = 127.0.0.0/8 192.168.0.0/24 [::ffff:127.0.0.0]/104 [::1]/128
+# E si faccia BEN ATTENZIONE a non diventare un open realay smtp
+
# Per effettuare lo storaggio della posta nelle home directory degli utenti
# in una Maildir invece che la Mailbox in /var/mail/utente
inet_interfaces = all
</pre>
+ <dl class="docutils">
+ <dt>E' disponibile un file di configurazione di esempio ben
+ piu' articolato e commentato::</dt>
+
+ <dd>/usr/share/postfix/main.cf.dist .</dd>
+ </dl>
+
+ <div class="section" id="test-del-server-smtp">
+ <h2><a class="toc-backref" href=
+ "#id74">8.1 Test del server smtp</a></h2>
+
+ <p>Per testare il corretto funzionamento del server di
+ posta si puo' procedere in vari modi.</p>
+
+ <ul class="simple">
+ <li>Spedire una mail a una casella locale / remota e
+ controllare i log (syslog)</li>
+
+ <li>Collegarsi via <em>telnet</em> al server di posta:
+ <a class="reference external" href=
+ "http://www.netadmintools.com/art276.html">http://www.netadmintools.com/art276.html</a></li>
+
+ <li>usare una utility come SWAKS</li>
+ </ul>
+
+ <div class="section" id="swaks">
+ <h3><a class="toc-backref" href=
+ "#id75">8.1.1 Swaks</a></h3>
+
+ <dl class="docutils">
+ <dt>Per gli utenti meno esperti e' consigliabile
+ utilizzare <em>SWAKS</em>: si installi l'omonimo
+ pacchetto e si esegua un test con::</dt>
+
+ <dd>swaks --to <a class="reference external" href=
+ "mailto:utente@destinatario.tilde">utente@destinatario.tilde</a>
+ --from <a class="reference external" href=
+ "mailto:utente@propio.mail.tilde">utente@propio.mail.tilde</a></dd>
+ </dl>
+
+ <p>Ecco un esempio di una sessione corretta:</p>
+ <pre class="literal-block">
+swaks --to andrea@piffa.net from andrea@mydomain.com
+=== Trying smtp.piffa.net:25...
+=== Connected to smtp.piffa.net.
+<- 220 zoo.piffa.net ESMTP Postfix (Debian/GNU)
+ -> EHLO alice.mydomain.com
+<- 250-zoo.piffa.net
+<- 250-PIPELINING
+<- 250-SIZE 10240000
+<- 250-VRFY
+<- 250-ETRN
+<- 250-STARTTLS
+<- 250-ENHANCEDSTATUSCODES
+<- 250-8BITMIME
+<- 250 DSN
+ -> MAIL FROM:<root@alice.mydomain.com>
+<- 250 2.1.0 Ok
+ -> RCPT TO:<andrea@piffa.net>
+<- 250 2.1.5 Ok
+ -> DATA
+<- 354 End data with <CR><LF>.<CR><LF>
+ -> Date: Thu, 28 May 2009 13:11:19 +0200
+ -> To: andrea@piffa.net
+ -> From: root@alice.mydomain.com
+ -> Subject: test Thu, 28 May 2009 13:11:19 +0200
+ -> X-Mailer: swaks v20061116.0 jetmore.org/john/code/#swaks
+ ->
+ -> This is a test mailing
+ ->
+ -> .
+<- 250 2.0.0 Ok: queued as 41FB261AFC
+ -> QUIT
+<- 221 2.0.0 Bye
+=== Connection closed with remote host.
+</pre>
+ </div>
+ </div>
+
<div class="section" id="imap-e-pop">
<h2><a class="toc-backref" href=
- "#id74">8.1 Imap e pop</a></h2>
+ "#id76">8.2 Imap e pop</a></h2>
<p>Postfix e' un server SMTP, di conseguenza se volete che
i vostri utenti possano <em>scaricare</em> in locale la
posta generalmente volete mettere a loro disposizione un
- server <em>POP3</em> o ancora meglio <em>IMAP</em>. Oppure
- entrambi.</p>
+ server <em>POP3</em> o <em>IMAP</em>. Oppure entrambi.</p>
<dl class="docutils">
<dt>Pacchetti da installare</dt>
<dd>courier-imap courier-pop</dd>
</dl>
- <p>i noti che IMAP necessita delle Maildir, non funziona
- con le Mailbox in <tt class="docutils literal"><span class=
- "pre">/var/mail/</span></tt> .</p>
+ <p>Si noti che IMAP necessita delle <em>Maildir</em>, non
+ funziona con le Mailbox in <tt class=
+ "docutils literal"><span class="pre">/var/mail/</span></tt>
+ .</p>
+ </div>
+
+ <div class="section" id="client-a-riga-di-comando">
+ <h2><a class="toc-backref" href=
+ "#id77">8.3 Client a riga di
+ comando</a></h2>
+
+ <p>Per testare il corretto funzionamento del server di
+ posta e' utile avere a disposizione delle utility per
+ inviare e leggere la posta: ovviamente da riga di
+ comando.</p>
+
+ <div class="section" id="mailx">
+ <h3><a class="toc-backref" href=
+ "#id78">8.3.1 mailx</a></h3>
+
+ <dl class="docutils">
+ <dt>Uno dei client piu' semplici, sopratutto per
+ inviare un messaggioi. e' sufficiente usare una formula
+ come::</dt>
+
+ <dd>mail <a class="reference external" href=
+ "mailto:utente@dominio.com">utente@dominio.com</a></dd>
+ </dl>
+
+ <p>Se il comando <tt class=
+ "docutils literal"><span class="pre">mail</span></tt> non
+ fosse disponibile si installi il pacchetto <tt class=
+ "docutils literal"><span class=
+ "pre">mailx</span></tt>.</p>
+
+ <p>Al primo prompt si digitera' l'oggetto, il testo del
+ messaggio (per terminare l'inserimento lasciare una riga
+ vuota, digitare un <tt class=
+ "docutils literal"><span class="pre">punto</span>
+ <span class="pre">+</span> <span class=
+ "pre">Invio</span></tt> su una riga vuota), la Carbon
+ Copy (se necessaria).</p>
+
+ <p>es:</p>
+ <pre class="literal-block">
+mail andrea@localhost
+Subject: Oggetto della mail
+Testo del messagio,
+per terminare il messaggio
+lasciare una riga vuota
+e un punto (poi Invio).
+
+.
+Cc:
+</pre>
+
+ <p>Per altrre opzioni si veda la pagina man.</p>
+ </div>
+
+ <div class="section" id="mutt">
+ <h3><a class="toc-backref" href=
+ "#id79">8.3.2 Mutt</a></h3>
+
+ <p>Mutt e' uno dei gestori di posta preferiti da chi
+ preferisce utilizzare l'interfaccia testuale per la
+ gestione della posta.</p>
+
+ <p>Mutt ha un file di configurazione <tt class=
+ "docutils literal"><span class="pre">.muttrc</span></tt>
+ nella <em>home</em> dell'utente, alcuni settaggi possono
+ essere utili:</p>
+
+ <dl class="docutils">
+ <dt>set folder="~/Maildir"</dt>
+
+ <dd>Per utilizzare <tt class=
+ "docutils literal"><span class=
+ "pre">/home/nome_utente/Maildir</span> <span class=
+ "pre">come</span> <span class=
+ "pre">mailbox</span></tt>, invece del default
+ <tt class="docutils literal"><span class=
+ "pre">/var/mail/nome_utente</span></tt>.</dd>
+
+ <dt>set editor="vim"</dt>
+
+ <dd>Utilizzare <tt class=
+ "docutils literal"><span class="pre">vim</span></tt>
+ come editor per comporre i messaggi.</dd>
+ </dl>
+
+ <p>Spesso e' utile poter <em>levvere al volo</em> la
+ Mailbox / Maildir di un utente sul server di posta, per
+ controllare se i messaggi vengono recapitati
+ correttamente:</p>
+ <pre class="literal-block">
+mutt -f /var/mail/utente
+mutt -f /home/utente/Maildir
+</pre>
+
+ <p>In modo analogo si puo' consultare al volo la propia
+ mailbox su un server remoto tramite IMAP/POP:</p>
+ <pre class="literal-block">
+mutt -f imap://nome_utente@piffa.net
+</pre>
+ </div>
<div class="section" id="web-client">
<h3><a class="toc-backref" href=
- "#id75">8.1.1 Web client</a></h3>
+ "#id80">8.3.3 Web client</a></h3>
<p>Per mettere a disposizione degli utenti un client web
per gestire la propria posta si installi il pacchetto:
</pre>
</div>
</div>
+
+ <div class="section" id="graylisting">
+ <h2><a class="toc-backref" href=
+ "#id81">8.4 Graylisting</a></h2>
+
+ <p>Il <em>graylisting</em> e' un sistema relativamente poco
+ invasivo, con un limitato consumo di risorse per limitare
+ lo <em>SPAM</em> in arrivo sul propio server di posta. Come
+ suggerisce il nome e' una via di mezzo tra una <em>white
+ list</em> (una lista di mittenti privilegiata, sempre
+ benvenuti) e una <em>black list</em> (mittenti
+ <em>bannati</em>, banditi dal poter inviare nuovi
+ messaggi).</p>
+
+ <p>Il funzionamento e' relativamente semplice: ogni
+ mittente sconosciuto viene immediatamente rifiutato con un
+ errore <em>non grave</em> come un <em>server non
+ disponibile, provare piu' tardi</em>. Questo inconveniente
+ non dovrebbe mettere in difficolta' un server di posta /
+ mittente legittimo, che dopo un periodo di attesa tentera'
+ nuovamente di inviare il messaggio ottenendo finalmente il
+ risultato atteso. Diversamente un <em>bot</em> per l'invio
+ di SPAM o un applicazione improvvisata (tipicamente di
+ derivazione virale) che stesse inviando il messaggio
+ <em>probabilmente</em> non insisterebbe, rinunciano ad
+ inviare il messaggio preferendo destinazioni meno
+ problematiche.</p>
+
+ <div class="section" id="abilitazione-in-postfix">
+ <h3><a class="toc-backref" href=
+ "#id82">8.4.1 Abilitazione in
+ Postfix</a></h3>
+
+ <p>Installare il pacchetto: <tt class=
+ "docutils literal"><span class="pre">postgrey</span></tt>
+ e aggiungere il file di configurazione di Postfix
+ <tt class="docutils literal"><span class=
+ "pre">/etc/postfix/main.cf</span></tt>:</p>
+ <pre class="literal-block">
+smtpd_recipient_restrictions =
+ permit_mynetworks,
+ reject_unauth_destination,
+ check_policy_service inet:127.0.0.1:60000
+</pre>
+ </div>
+
+ <div class="section" id="test">
+ <h3><a class="toc-backref" href=
+ "#id83">8.4.2 Test</a></h3>
+
+ <p>Inviando un messaggio il client dovrebbe ricevere un
+ iniziale messaggio di rifiuto del messaggio:</p>
+ <pre class="literal-block">
+swaks --to andrea@piffa.net from andrea@mydonain.com
+=== Trying smtp.piffa.net:25...
+=== Connected to smtp.piffa.net
+...
+<- 250 2.1.0 Ok
+ -> RCPT TO:<andrea@piffa.net>
+<** 450 4.2.0 <andrea@piffa.net>: Recipient address rejected:
+Greylisted, see http://postgrey.schweikert.ch/help/piffa.net.html
+ -> QUIT
+<- 221 2.0.0 Bye
+=== Connection closed with remote host.
+</pre>
+
+ <p>A lato server si dovrebbe rilevare su <tt class=
+ "docutils literal"><span class=
+ "pre">/var/log/syslog</span></tt> qualcosa di simile:</p>
+ <pre class="literal-block">
+connect from alice.mydomain.com[65.98.21.97]
+May 28 14:53:34 r24266 postgrey: action=greylist, reason=new,
+ client_name=alice.mydomain.com,
+ client_address=10.0.0.1, sender=root@alice.mydomain.com, recipient=andrea@piffa.net
+May 28 14:53:34 r24266 postfix/smtpd[22538]:
+ NOQUEUE: reject: RCPT from alice.mydomain.com[10.0.0.1]:
+ 450 4.2.0 <andrea@piffa.net>: Recipient address rejected: Greylisted,
+ see http://postgrey.schweikert.ch/help/piffa.net.html;
+ from=<root@alice.mydomain.com> to=<andrea@piffa.net>
+ proto=ESMTP helo=<alice.mydomain.com>
+May 28 14:53:34 r24266 postfix/smtpd[22538]: disconnect from alice.mydomain.com[10.0.0.1]
+</pre>
+ </div>
+
+ <div class="section" id="statistiche">
+ <h3><a class="toc-backref" href=
+ "#id84">8.4.3 Statistiche</a></h3>
+
+ <p>E' sempre utile poter tracciare qualche statistica
+ sulle percentuali di messaggi ricevuti, da chi, messaggi
+ rifiutati (e per quale motivo). Statistiche che attingono
+ dai soliti log del server di posta <tt class=
+ "docutils literal"><span class=
+ "pre">/var/log/syslog</span></tt> di default oltre che i
+ dedicati <tt class="docutils literal"><span class=
+ "pre">/var/log/mail</span></tt> .</p>
+
+ <p>Una utility semplice per analizzare l'attivita' del
+ propio server smtp potrebbe essere <tt class=
+ "docutils literal"><span class=
+ "pre">pflogsumm</span></tt> , installato il pacchetto la
+ si puo' invocare con:</p>
+ <pre class="literal-block">
+pflogsumm.pl /var/log/mail.log
+</pre>
+
+ <p>oppure utilizzare i log piu' vecchi ad es. <tt class=
+ "docutils literal"><span class=
+ "pre">/var/log/mail.log.0</span></tt></p>
+ </div>
+ </div>
</div>
<div class="section" id="firewall">
<h1><a class="toc-backref" href=
- "#id76">9 Firewall</a></h1>
+ "#id85">9 Firewall</a></h1>
<p>In Informatica, nell'ambito delle reti di computer, un
firewall (termine inglese dal significato originario di
<div class="section" id="links">
<h2><a class="toc-backref" href=
- "#id77">9.1 Links</a></h2>
+ "#id86">9.1 Links</a></h2>
<ul class="simple">
<li><a class="reference external" href=
<div class="section" id="ipfilter">
<h2><a class="toc-backref" href=
- "#id78">9.2 Ipfilter</a></h2>
+ "#id87">9.2 Ipfilter</a></h2>
<p>Link: <a class="reference external" href=
"http://iptables-tutorial.frozentux.net/iptables-tutorial.html#IPFILTERING">
<div class="section" id="progettazione-di-un-firewall">
<h2><a class="toc-backref" href=
- "#id79">9.3 Progettazione di un
+ "#id88">9.3 Progettazione di un
firewall</a></h2>
<p>Per implementare un firewall bisogna decidere un aio di
<div class="section" id="collocazione">
<h3><a class="toc-backref" href=
- "#id80">9.3.1 Collocazione</a></h3>
+ "#id89">9.3.1 Collocazione</a></h3>
<p>DMZ e MZ, internet, intranet, extranet. Frammentazione
della rete, decidere se diversi reparti di una azienda si
<div class="section" id="policy-di-default">
<h3><a class="toc-backref" href=
- "#id81">9.3.2 Policy di default</a></h3>
+ "#id90">9.3.2 Policy di default</a></h3>
<p>Drop o Accept: conseguenze per sicurezza, facilita' di
gestione.</p>
<div class="section" id="hardware">
<h3><a class="toc-backref" href=
- "#id82">9.3.3 Hardware</a></h3>
+ "#id91">9.3.3 Hardware</a></h3>
<p>Sostanzialmente potremmo distinguere due tipologie di
hardware:</p>
<div class="section" id=
"percorso-dei-pacchetti-tra-tabelle-e-catene">
<h2><a class="toc-backref" href=
- "#id83">9.4 Percorso dei pacchetti tra
+ "#id92">9.4 Percorso dei pacchetti tra
tabelle e catene</a></h2>
<p>link: <a class="reference external" href=
<div class="section" id="concetti-di-base">
<h2><a class="toc-backref" href=
- "#id84">9.5 Concetti di base</a></h2>
+ "#id93">9.5 Concetti di base</a></h2>
<div class="section" id="tabelle-catene-regole">
<h3><a class="toc-backref" href=
- "#id85">9.5.1 Tabelle, catene,
+ "#id94">9.5.1 Tabelle, catene,
regole</a></h3>
<p>Iptables lavora su 3 tabelle (tables) di default:</p>
<div class="section" id="match">
<h3><a class="toc-backref" href=
- "#id86">9.5.2 Match</a></h3>
+ "#id95">9.5.2 Match</a></h3>
<p>I Match di una regola (rule) servono a testare un
pacchetto per valutare se corrisponda a certe
<div class="section" id="targets">
<h3><a class="toc-backref" href=
- "#id87">9.5.3 Targets</a></h3>
+ "#id96">9.5.3 Targets</a></h3>
<p>Se un pacchetto soddisfa le condizioni del Match
<em>salta</em> (jump) su uno dei target possibili, in
<div class="section" id="tabella-filter">
<h2><a class="toc-backref" href=
- "#id88">9.6 Tabella Filter</a></h2>
+ "#id97">9.6 Tabella Filter</a></h2>
<p>E' quella implicita e predefinita (-t filter) Riguarda
le attività di filtraggio del traffico. Ha 3 catene
<div class="section" id=
"flush-automatico-per-macchine-remote">
<h2><a class="toc-backref" href=
- "#id89">9.7 Flush automatico per macchine
+ "#id98">9.7 Flush automatico per macchine
remote</a></h2>
<p>Se state provando una configurazione del firewall per
<div class="section" id="gestione-regole-rules">
<h2><a class="toc-backref" href=
- "#id90">9.8 Gestione regole
+ "#id99">9.8 Gestione regole
(rules)</a></h2>
<p>Il comando iptables viene usato per ogni
<div class="section" id="salvataggio-regole">
<h2><a class="toc-backref" href=
- "#id91">9.9 Salvataggio regole</a></h2>
+ "#id100">9.9 Salvataggio regole</a></h2>
<p>Il comando <tt class="docutils literal"><span class=
"pre">iptables</span></tt> serve per interagire con il
<div class="section" id="iptables-save">
<h3><a class="toc-backref" href=
- "#id92">9.9.1 Iptables-save</a></h3>
+ "#id101">9.9.1 Iptables-save</a></h3>
<p>Per salvare le regole di iptables attualmente presenti
nel kernel si usi il comando:</p>
<div class="section" id="iptables-restore">
<h3><a class="toc-backref" href=
- "#id93">9.9.2 Iptables-restore</a></h3>
+ "#id102">9.9.2 Iptables-restore</a></h3>
<p>Per ripristinare un set di regole precedentemente
salvate con <tt class="docutils literal"><span class=
<div class="section" id="esempi">
<h2><a class="toc-backref" href=
- "#id94">9.10 Esempi</a></h2>
+ "#id103">9.10 Esempi</a></h2>
<p>Seguono alcuni esempi sull'uso di iptables, lo scenario
e' un computer con un paio di schede di rete fisiche una
<div class="section" id="bloccare-i-ping-dall-esterno">
<h3><a class="toc-backref" href=
- "#id95">9.10.1 Bloccare i ping
+ "#id104">9.10.1 Bloccare i ping
dall'esterno</a></h3>
<p>Spesso gli script che attaccano
<div class="section" id="masquerading-snat">
<h3><a class="toc-backref" href=
- "#id96">9.10.2 Masquerading
+ "#id105">9.10.2 Masquerading
(sNAT)</a></h3>
<dl class="docutils">
anche il source natting. Se avete un indirizzo IP statico
assegnato al vostro gateway potete invece usare lo SNAT
semplice.</p>
+
+ <dl class="docutils">
+ <dt>Altri esempi::</dt>
+
+ <dd>
+ <p class="first">## Change source addresses to
+ 1.2.3.4. # iptables -t nat -A POSTROUTING -o eth0 -j
+ SNAT --to 1.2.3.4</p>
+
+ <p>## Change source addresses to 1.2.3.4, 1.2.3.5 or
+ 1.2.3.6 # iptables -t nat -A POSTROUTING -o eth0 -j
+ SNAT --to 1.2.3.4-1.2.3.6</p>
+
+ <p class="last">## Change source addresses to
+ 1.2.3.4, ports 1-1023 # iptables -t nat -A
+ POSTROUTING -p tcp -o eth0 -j SNAT --to
+ 1.2.3.4:1-1023</p>
+ </dd>
+ </dl>
</div>
<div class="section" id="brute-force">
<h3><a class="toc-backref" href=
- "#id97">9.10.3 Brute force</a></h3>
+ "#id106">9.10.3 Brute force</a></h3>
<dl class="docutils">
<dt>Per limitare attacchi di tipo brute force su
<div class="section" id="note">
<h1><a class="toc-backref" href=
- "#id98">10 NOTE</a></h1>
+ "#id107">10 NOTE</a></h1>
<ul class="simple">
<li>controllare apache</li>