[successivo] [precedente] [inizio] [fine] [indice generale] [violazione licenza] [translators] [docinfo] [indice analitico] [volume] [parte]

Capitolo 599, diapositiva
Filtro IP: simulazione di un firewall per esercizio 2/2

Si abilita espressamente la funzionalità di router:

echo 1 > /proc/sys/net/ipv4/ip_forward[Invio]

Si abilita la sostituzione degli indirizzi della rete 192.168.7.* quando le comunicazioni escono da quella rete:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE[Invio]

Si inizializzano i filtri e si definiscono le politiche predefinite:

iptables -t filter -F[Invio]

iptables -t filter -P FORWARD DROP[Invio]

iptables -t filter -P INPUT DROP[Invio]

iptables -t filter -P OUTPUT ACCEPT[Invio]

Si accetta tutto il traffico in ingresso e in attraversamento proveniente dalla rete «locale» (192.168.7.*) e si accetta anche il traffico in ingresso proveniente dall'interfaccia virtuale locale:

iptables -t filter -A INPUT -s 192.168.1.0/24 -j ACCEPT[Invio]

iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT[Invio]

iptables -t filter -A INPUT -s 127.0.0.1 \
  \-j ACCEPT[Invio]

Si accetta il traffico in ingresso e in attraversamento che riguarda comunicazioni già iniziate in qualche modo:

iptables -t filter -A INPUT -m state \
  \--state ESTABLISHED -j ACCEPT[Invio]

iptables -t filter -A FORWARD -m state \
  \--state ESTABLISHED -j ACCEPT[Invio]

Al termine la rete 192.168.7.* e il firewall stesso risultano protetti dall'esterno (la rete 172.17.*.* e il resto del mondo), inoltre le comunicazioni che hanno origine dalla rete 192.168.7.* e sono dirette all'esterno, sono modificate attraverso il meccanismo del NAT e ciò lo si può verificare agevolmente con un programma come IPTraf.

Appunti di informatica libera 2004.10.10 --- Copyright © 2000-2004 Daniele Giacomini -- <daniele (ad) swlibero·org>, <daniele·giacomini (ad) poste·it>

Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome filtro_ip_simulazione_di_un_firewall_per_esercizio_2_2.html

[successivo] [precedente] [inizio] [fine] [indice generale] [violazione licenza] [translators] [docinfo] [indice analitico]

Valid ISO-HTML!