+
+ <div class="section" id="esempi">
+ <h2><a class="toc-backref" href=
+ "#id91">8.10 Esempi</a></h2>
+
+ <p>Seguono alcuni esempi sull'uso di iptables, lo scenario
+ e' un computer con un paio di schede di rete fisiche una
+ delle quali collegata alla rete internet l'altra a una rete
+ privata per la LAN interna.</p>
+
+ <blockquote>
+ <ol class="arabic simple">
+ <li><tt class="docutils literal"><span class=
+ "pre">eth0</span></tt> scheda di rete principale sulla
+ rete privata interna 192.168.0.0/24</li>
+
+ <li><tt class="docutils literal"><span class=
+ "pre">eth1</span></tt> scheda di rete secondaria per la
+ connessione ad internet</li>
+
+ <li><tt class="docutils literal"><span class=
+ "pre">ppp0</span></tt> punto-a-punto per una
+ connessione ad internet</li>
+ </ol>
+ </blockquote>
+
+ <div class="section" id="bloccare-i-ping-dall-esterno">
+ <h3><a class="toc-backref" href=
+ "#id92">8.10.1 Bloccare i ping
+ dall'esterno</a></h3>
+
+ <p>Spesso gli script che attaccano
+ <em>automaticamente</em> le varie reti provano a fare un
+ ping per verificare quali IP sono on-line: bloccare il
+ traffico <tt class="docutils literal"><span class=
+ "pre">ICMP</span></tt> in ingresso puo' aiutare ad
+ evitare parte di questi attacchi:</p>
+ <pre class="literal-block">
+iptables -A INPUT -i ppp0 -p ICMP -j DROP
+</pre>
+ </div>
+
+ <div class="section" id="masquerading-snat">
+ <h3><a class="toc-backref" href=
+ "#id93">8.10.2 Masquerading
+ (sNAT)</a></h3>
+
+ <dl class="docutils">
+ <dt>Per attivare la network address translation (in
+ questo caso un SNAT) per la rete locale privata
+ sull'indirizzo ip del <em>modem</em>::</dt>
+
+ <dd>iptables -A POSTROUTING -s
+ 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE</dd>
+ </dl>
+
+ <p>Il <em>Masquerading</em> a differenza dello
+ <em>SNAT</em> puro (<tt class=
+ "docutils literal"><span class="pre">-j</span>
+ <span class="pre">SNAT</span> <span class=
+ "pre">--to-source</span> <span class=
+ "pre">propio_ip_pubblico</span> <span class=
+ "pre">)</span> <span class="pre">legge</span>
+ <span class="pre">l'indirizzo</span> <span class=
+ "pre">ip</span> <span class="pre">del</span> <span class=
+ "pre">device</span> <span class="pre">``ppp0</span></tt>.
+ In questo modo se l'IP cambia automaticamente si aggiorna
+ anche il source natting. Se avete un indirizzo IP statico
+ assegnato al vostro gateway potete invece usare lo SNAT
+ semplice.</p>
+ </div>
+
+ <div class="section" id="brute-force">
+ <h3><a class="toc-backref" href=
+ "#id94">8.10.3 Brute force</a></h3>
+
+ <dl class="docutils">
+ <dt>Per limitare attacchi di tipo brute force su
+ SSH::</dt>
+
+ <dd>
+ <p class="first">iptables -A INPUT -i ppp0 -p tcp -m
+ tcp --dport 22 -m state --state NEW -m recent
+ --update --seconds 3000 --hitcount 4 --name DEFAULT
+ --rsource -j DROP</p>
+
+ <p class="last">iptables -A INPUT -i ppp0 -p tcp -m
+ tcp --dport 22 -m state --state NEW -m recent --set
+ --name DEFAULT --rsource</p>
+ </dd>
+ </dl>
+ </div>
+ </div>