]> git.piffa.net Git - doc/.git/blobdiff - source/servizi.txt
projects / doc / .git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
modified: servizi.html
[doc/.git] / source / servizi.txt
diff --git a/source/servizi.txt b/source/servizi.txt
index a00d9892908b512e5112d51fff709ec2339669b1..d4a11c9ac6b50886c5e3ceb39c49fd144b0d33fa 100644 (file)
--- a/source/servizi.txt
+++ b/source/servizi.txt
@@ -65,11 +65,11 @@ Segue un esempio del file di configurazione della scheda di rete con configurazi
        iface etho inet static
          # esempio con dhcp
          # iface etho inet dhcp
-        address 212.22.136.101
+        address 10.10.208.101
         netmask 255.255.255.0
-        network 212.22.136.0
-        broadcast 212.22.136.255
-        gateway 212.22.136.254
+        network 10.10.208.0
+        broadcast 10.10.208.255
+        gateway 10.10.208.254
 
        # Quali interfaccie devono partire automaticamente:
        auto lo eth0
@@ -1601,6 +1601,43 @@ Per ripristinare un set di regole prcedentemente salvate con ``iptables-save`` s
                 /sbin/iptables-restore /root/firewall/basic_fw
 
 
+Esempi
+-------------
+
+Seguono alcuni esempi sull'uso di iptables, lo scenario e' un computer con un paio di schede di rete fisiche una delle quali collegata alla rete internet l'altra a una rete privata per la LAN interna.
+
+       1. ``eth0`` scheda di rete principale sulla rete privata interna 192.168.0.0/24
+
+       2. ``eth1`` scheda di rete secondaria per la connessione ad internet
+
+       3. ``ppp0`` punto-a-punto per una connessione ad internet
+
+Bloccare i ping dall'esterno
+~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+
+Spesso gli script che attaccano *automaticamente* le varie reti provano a fare un ping per verificare quali IP sono on-line: bloccare il traffico ``ICMP`` in ingresso puo' aiutare ad evitare parte di questi attacchi::
+
+       iptables -A INPUT -i ppp0 -p ICMP -j DROP
+
+Masquerading (sNAT)
+~~~~~~~~~~~~~~~~~~~~
+
+Per attivare la network address translation (in questo caso un SNAT) per la rete locale privata sull'indirizzo ip del *modem*::
+       iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
+
+Il *Masquerading* a differenza dello *SNAT* puro (``-j SNAT --to-source propio_ip_pubblico ) legge l'indirizzo ip del device ``ppp0``. In questo modo se l'IP cambia automaticamente si aggiorna anche il source natting. Se avete un indirizzo IP statico assegnato al vostro gateway potete invece usare lo SNAT semplice.
+
+
+Brute force
+~~~~~~~~~~~~
+
+Per limitare attacchi di tipo brute force su SSH::
+       iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 3000 --hitcount 4 --name DEFAULT --rsource -j DROP
+
+       iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
+
+
+
 NOTE
 ========
 
"Documentazione per Gnu/Linux e servizi di rete"