From: Andrea Manni <andrea@andreamanni.com>
Date: Fri, 22 May 2009 09:36:02 +0000 (+0200)
Subject: 	modified:   servizi.html
X-Git-Url: http://git.piffa.net/web?p=doc%2F.git;a=commitdiff_plain;h=941925901a3942c6c16a8da8be47719cb425abd6

	modified:   servizi.html
	modified:   source/servizi.txt
---

diff --git a/servizi.html b/servizi.html
index e9cbe22..2abbb2d 100644
--- a/servizi.html
+++ b/servizi.html
@@ -730,11 +730,32 @@
                 "id90">8.9.2&nbsp;&nbsp;&nbsp;Iptables-restore</a></li>
               </ul>
             </li>
+
+            <li>
+              <a class="reference internal" href="#esempi" id=
+              "id91" name="id91">8.10&nbsp;&nbsp;&nbsp;Esempi</a>
+
+              <ul class="auto-toc">
+                <li><a class="reference internal" href=
+                "#bloccare-i-ping-dall-esterno" id="id92" name=
+                "id92">8.10.1&nbsp;&nbsp;&nbsp;Bloccare i ping
+                dall'esterno</a></li>
+
+                <li><a class="reference internal" href=
+                "#masquerading-snat" id="id93" name=
+                "id93">8.10.2&nbsp;&nbsp;&nbsp;Masquerading
+                (sNAT)</a></li>
+
+                <li><a class="reference internal" href=
+                "#brute-force" id="id94" name=
+                "id94">8.10.3&nbsp;&nbsp;&nbsp;Brute force</a></li>
+              </ul>
+            </li>
           </ul>
         </li>
 
-        <li><a class="reference internal" href="#note" id="id91"
-        name="id91">9&nbsp;&nbsp;&nbsp;NOTE</a></li>
+        <li><a class="reference internal" href="#note" id="id95"
+        name="id95">9&nbsp;&nbsp;&nbsp;NOTE</a></li>
       </ul>
     </div>
 
@@ -862,11 +883,11 @@ iface lo inet loopback
 iface etho inet static
   # esempio con dhcp
   # iface etho inet dhcp
-address 212.22.136.101
+address 10.10.208.101
 netmask 255.255.255.0
-network 212.22.136.0
-broadcast 212.22.136.255
-gateway 212.22.136.254
+network 10.10.208.0
+broadcast 10.10.208.255
+gateway 10.10.208.254
 
 # Quali interfaccie devono partire automaticamente:
 auto lo eth0
@@ -4014,11 +4035,104 @@ iface eth1 inet static
 </pre>
         </div>
       </div>
+
+      <div class="section" id="esempi">
+        <h2><a class="toc-backref" href=
+        "#id91">8.10&nbsp;&nbsp;&nbsp;Esempi</a></h2>
+
+        <p>Seguono alcuni esempi sull'uso di iptables, lo scenario
+        e' un computer con un paio di schede di rete fisiche una
+        delle quali collegata alla rete internet l'altra a una rete
+        privata per la LAN interna.</p>
+
+        <blockquote>
+          <ol class="arabic simple">
+            <li><tt class="docutils literal"><span class=
+            "pre">eth0</span></tt> scheda di rete principale sulla
+            rete privata interna 192.168.0.0/24</li>
+
+            <li><tt class="docutils literal"><span class=
+            "pre">eth1</span></tt> scheda di rete secondaria per la
+            connessione ad internet</li>
+
+            <li><tt class="docutils literal"><span class=
+            "pre">ppp0</span></tt> punto-a-punto per una
+            connessione ad internet</li>
+          </ol>
+        </blockquote>
+
+        <div class="section" id="bloccare-i-ping-dall-esterno">
+          <h3><a class="toc-backref" href=
+          "#id92">8.10.1&nbsp;&nbsp;&nbsp;Bloccare i ping
+          dall'esterno</a></h3>
+
+          <p>Spesso gli script che attaccano
+          <em>automaticamente</em> le varie reti provano a fare un
+          ping per verificare quali IP sono on-line: bloccare il
+          traffico <tt class="docutils literal"><span class=
+          "pre">ICMP</span></tt> in ingresso puo' aiutare ad
+          evitare parte di questi attacchi:</p>
+          <pre class="literal-block">
+iptables -A INPUT -i ppp0 -p ICMP -j DROP
+</pre>
+        </div>
+
+        <div class="section" id="masquerading-snat">
+          <h3><a class="toc-backref" href=
+          "#id93">8.10.2&nbsp;&nbsp;&nbsp;Masquerading
+          (sNAT)</a></h3>
+
+          <dl class="docutils">
+            <dt>Per attivare la network address translation (in
+            questo caso un SNAT) per la rete locale privata
+            sull'indirizzo ip del <em>modem</em>::</dt>
+
+            <dd>iptables -A POSTROUTING -s
+            192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE</dd>
+          </dl>
+
+          <p>Il <em>Masquerading</em> a differenza dello
+          <em>SNAT</em> puro (<tt class=
+          "docutils literal"><span class="pre">-j</span>
+          <span class="pre">SNAT</span> <span class=
+          "pre">--to-source</span> <span class=
+          "pre">propio_ip_pubblico</span> <span class=
+          "pre">)</span> <span class="pre">legge</span>
+          <span class="pre">l'indirizzo</span> <span class=
+          "pre">ip</span> <span class="pre">del</span> <span class=
+          "pre">device</span> <span class="pre">``ppp0</span></tt>.
+          In questo modo se l'IP cambia automaticamente si aggiorna
+          anche il source natting. Se avete un indirizzo IP statico
+          assegnato al vostro gateway potete invece usare lo SNAT
+          semplice.</p>
+        </div>
+
+        <div class="section" id="brute-force">
+          <h3><a class="toc-backref" href=
+          "#id94">8.10.3&nbsp;&nbsp;&nbsp;Brute force</a></h3>
+
+          <dl class="docutils">
+            <dt>Per limitare attacchi di tipo brute force su
+            SSH::</dt>
+
+            <dd>
+              <p class="first">iptables -A INPUT -i ppp0 -p tcp -m
+              tcp --dport 22 -m state --state NEW -m recent
+              --update --seconds 3000 --hitcount 4 --name DEFAULT
+              --rsource -j DROP</p>
+
+              <p class="last">iptables -A INPUT -i ppp0 -p tcp -m
+              tcp --dport 22 -m state --state NEW -m recent --set
+              --name DEFAULT --rsource</p>
+            </dd>
+          </dl>
+        </div>
+      </div>
     </div>
 
     <div class="section" id="note">
       <h1><a class="toc-backref" href=
-      "#id91">9&nbsp;&nbsp;&nbsp;NOTE</a></h1>
+      "#id95">9&nbsp;&nbsp;&nbsp;NOTE</a></h1>
 
       <ul class="simple">
         <li>controllare apache</li>
diff --git a/source/servizi.txt b/source/servizi.txt
index a00d989..d4a11c9 100644
--- a/source/servizi.txt
+++ b/source/servizi.txt
@@ -65,11 +65,11 @@ Segue un esempio del file di configurazione della scheda di rete con configurazi
 	iface etho inet static
 	  # esempio con dhcp
 	  # iface etho inet dhcp
-        address 212.22.136.101
+        address 10.10.208.101
         netmask 255.255.255.0
-        network 212.22.136.0
-        broadcast 212.22.136.255
-        gateway 212.22.136.254
+        network 10.10.208.0
+        broadcast 10.10.208.255
+        gateway 10.10.208.254
 
 	# Quali interfaccie devono partire automaticamente:
 	auto lo eth0
@@ -1601,6 +1601,43 @@ Per ripristinare un set di regole prcedentemente salvate con ``iptables-save`` s
                 /sbin/iptables-restore /root/firewall/basic_fw
 
 
+Esempi
+-------------
+
+Seguono alcuni esempi sull'uso di iptables, lo scenario e' un computer con un paio di schede di rete fisiche una delle quali collegata alla rete internet l'altra a una rete privata per la LAN interna.
+
+	1. ``eth0`` scheda di rete principale sulla rete privata interna 192.168.0.0/24
+
+	2. ``eth1`` scheda di rete secondaria per la connessione ad internet
+
+	3. ``ppp0`` punto-a-punto per una connessione ad internet
+
+Bloccare i ping dall'esterno
+~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+
+Spesso gli script che attaccano *automaticamente* le varie reti provano a fare un ping per verificare quali IP sono on-line: bloccare il traffico ``ICMP`` in ingresso puo' aiutare ad evitare parte di questi attacchi::
+
+	iptables -A INPUT -i ppp0 -p ICMP -j DROP
+
+Masquerading (sNAT)
+~~~~~~~~~~~~~~~~~~~~
+
+Per attivare la network address translation (in questo caso un SNAT) per la rete locale privata sull'indirizzo ip del *modem*::
+	iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
+
+Il *Masquerading* a differenza dello *SNAT* puro (``-j SNAT --to-source propio_ip_pubblico ) legge l'indirizzo ip del device ``ppp0``. In questo modo se l'IP cambia automaticamente si aggiorna anche il source natting. Se avete un indirizzo IP statico assegnato al vostro gateway potete invece usare lo SNAT semplice.
+
+
+Brute force
+~~~~~~~~~~~~
+
+Per limitare attacchi di tipo brute force su SSH::
+	iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 3000 --hitcount 4 --name DEFAULT --rsource -j DROP
+
+	iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
+
+
+
 NOTE
 ========