From: Andrea Manni Date: Fri, 22 May 2009 09:36:02 +0000 (+0200) Subject: modified: servizi.html X-Git-Url: http://git.piffa.net/web?a=commitdiff_plain;h=941925901a3942c6c16a8da8be47719cb425abd6;p=doc%2F.git modified: servizi.html modified: source/servizi.txt --- diff --git a/servizi.html b/servizi.html index e9cbe22..2abbb2d 100644 --- a/servizi.html +++ b/servizi.html @@ -730,11 +730,32 @@ "id90">8.9.2   Iptables-restore + +
  • + 8.10   Esempi + + +
  • -
  • 9   NOTE
  • +
  • 9   NOTE
  • @@ -862,11 +883,11 @@ iface lo inet loopback iface etho inet static # esempio con dhcp # iface etho inet dhcp -address 212.22.136.101 +address 10.10.208.101 netmask 255.255.255.0 -network 212.22.136.0 -broadcast 212.22.136.255 -gateway 212.22.136.254 +network 10.10.208.0 +broadcast 10.10.208.255 +gateway 10.10.208.254 # Quali interfaccie devono partire automaticamente: auto lo eth0 @@ -4014,11 +4035,104 @@ iface eth1 inet static + +
    +

    8.10   Esempi

    + +

    Seguono alcuni esempi sull'uso di iptables, lo scenario + e' un computer con un paio di schede di rete fisiche una + delle quali collegata alla rete internet l'altra a una rete + privata per la LAN interna.

    + +
    +
      +
    1. eth0 scheda di rete principale sulla + rete privata interna 192.168.0.0/24
    2. + +
    3. eth1 scheda di rete secondaria per la + connessione ad internet
    4. + +
    5. ppp0 punto-a-punto per una + connessione ad internet
    6. +
    +
    + +
    +

    8.10.1   Bloccare i ping + dall'esterno

    + +

    Spesso gli script che attaccano + automaticamente le varie reti provano a fare un + ping per verificare quali IP sono on-line: bloccare il + traffico ICMP in ingresso puo' aiutare ad + evitare parte di questi attacchi:

    +
    +iptables -A INPUT -i ppp0 -p ICMP -j DROP
    +
    +
    + +
    +

    8.10.2   Masquerading + (sNAT)

    + +
    +
    Per attivare la network address translation (in + questo caso un SNAT) per la rete locale privata + sull'indirizzo ip del modem::
    + +
    iptables -A POSTROUTING -s + 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
    +
    + +

    Il Masquerading a differenza dello + SNAT puro (-j + SNAT --to-source propio_ip_pubblico ) legge + l'indirizzo ip del device ``ppp0. + In questo modo se l'IP cambia automaticamente si aggiorna + anche il source natting. Se avete un indirizzo IP statico + assegnato al vostro gateway potete invece usare lo SNAT + semplice.

    +
    + +
    +

    8.10.3   Brute force

    + +
    +
    Per limitare attacchi di tipo brute force su + SSH::
    + +
    +

    iptables -A INPUT -i ppp0 -p tcp -m + tcp --dport 22 -m state --state NEW -m recent + --update --seconds 3000 --hitcount 4 --name DEFAULT + --rsource -j DROP

    + +

    iptables -A INPUT -i ppp0 -p tcp -m + tcp --dport 22 -m state --state NEW -m recent --set + --name DEFAULT --rsource

    +
    +
    +
    +

    9   NOTE

    + "#id95">9   NOTE