Gestisco una situazione con ... tutte le porte chiuse, e quelle aperte girano su un proxy (trasparente).
Se vuoi che funzioni Microsoft update, gli update di Mozilla in generale (Thunderbird e Firefox), ecc. devi permettere 80 *e* 443, oltre alla risoluzione DNS (ma questo dipende come strutturi la rete). Riguardo gli update di Microsoft, devi impostare il proxy a mano o con altri sistemi per SSL (dato che non può essere trasparente), per la 80 a tua scelta a seconda di come lavori con SQUID (se lo configuri come trasparente eviti). Ma stai attento.... impostare il proxy su IE non ti risolve il problema degli update AUTOMATICI (che non funzioneranno), devi impostare il proxy anche nel protocollo WINHTTP con il comando proxycfg sulle macchine Win$$$$. CIAO Luca ---------- Original Message ----------- From: Dario Pilori <pengui...@gmail.com> To: Debian-italian <debian-italian@lists.debian.org> Sent: Fri, 27 Nov 2009 15:36:18 +0100 Subject: Re: [semi-OT] iptables e lan (come...) > 2009/11/27 Pol Hallen <debitv...@fuckaround.org>: > > I miei dubbi sono: chiudo tutto con iptables e apro solo quello che deve > > passare? ma dovrei mettermi a guardare con funziona il win update, l'update > > di mac osx, gli update degli antivirus, dei firewall dei client e gli altri > > servizi? che tipo di problemi mi ritroverei? > > Gestisco un firewall con una situazione molto simile. > > La soluzione migliore è senz'altro chiudere tutto e aprire con > iptables solo i servizi necessari. Il metodo senz'altro più sicuro > in assoluto è chiudere tutto e permettere ai client di accedere ad > internet solo passando per un server proxy (squid). Tutti i servizi > che hai elencato usano HTTP porta 80, quindi impostando a livello di > sistema il proxy (su Windows è sufficiente impostarlo in IE) tutto > passerebbe senza problemi. L'unico svantaggio di questa soluzione è > dover impostare a manina il proxy su ogni computer che volesse > collegarsi, ma usando WPAD semplifichi di molto questa operazione. > > Altrimenti ti conviene lasciare aperte le porte TCP 80 (HTTP), 443 > (HTTPS), 21 (FTP) e, semmai serva, 22 (SSH). Se non hai un server DNS > interno attiva anche la 53 UDP. Queste porte aperte dovrebbero > permettere tutto quello che hai scritto (a meno che non abbiano un > metodo particolarmente "esotico" per andare in internet). > > -- > Dario Pilori > -Linux registered user #406515 > > -- > Per REVOCARE l'iscrizione alla lista, inviare un email a > debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". > Per problemi inviare un email in INGLESE a listmas...@lists.debian.org > > To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org ------- End of Original Message ------- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
