Creare un semplice firewall con ip-tables

 

 

Premessa

Loggatevi come root

e create uno script

# touch firewall.sh

# nano firewall.sh

inserite le seguenti linee

## Inserisci i moduli del connection-tracking (non necessari se inclusi nel kernel)

insmod ip_conntrack

insmod ip_conntrack_ftp

## Crea una catena che blocchi le nuove connessioni, eccetto quelle provenienti dall'interno.

iptables -N block

iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

iptables -A block -j DROP

## Dalle catene INPUT e FORWARD salta a questa catena

iptables -A INPUT -j block

iptables -A FORWARD -j block

#questo blocca i ping dall'esterno

iptables -A INPUT -p icmp --icmp-type 0 -j DROP

Un firewall alternativo(con x11,mysql filtrati e le porte per il p2p aperte)

#!/bin/bash
## Inserisci i moduli del connection-tracking (non necessari se inclusi nel kernel)
modprobe ip_conntrack
modprobe ip_conntrack_ftp
#pulisci
iptables -F
iptables -X
#X11
iptables -A INPUT -p tcp --dport 6000 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 6000 -j ACCEPT
#napster/lopster
iptables -A INPUT -p tcp --dport 6699 -j ACCEPT
#amule
iptables -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
#cups
iptables -I INPUT -p tcp --dport 631 -j DROP
iptables -I INPUT -p tcp -s 127.0.0.1  --dport 631 -j ACCEPT
#mysql
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 3306 -j ACCEPT
#azureus
iptables -A INPUT -p tcp --dport 6881 -j ACCEPT
## Crea una catena che blocchi le nuove connessioni, eccetto quelle provenienti dall'inte                                   rno.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
## Dalle catene INPUT e FORWARD salta a questa catena
iptables -A INPUT -j block
iptables -A FORWARD -j block
#questo blocca i ping dall'esterno
iptables -A INPUT -p icmp --icmp-type 0 -j DROP

 

Salvatelo e rendetelo eseguibile con chmod +x ,se lo volete potete caricarlo all'avvio

inserendolo in /etc/rc.d(e modificando rc.local affinchè lo avvii

oppure copiate tutte le righe in /etc/rc.d/rc.local

Se volete testare il vostro firewall ed eventuali porte aperte eccovi un paio di links utili

Sygate security scan

All nettools

Ultimo aggiornamento 30/05/2005

Torna all'indice