Il giorno Mar 13 Mar 2012 15:57:43 CET, Pol Hallen ha scritto: > L'idea di base è bloccare tutto il traffico dei client (tutto il traffico > verso > internet), acconsentire quello della lan in ogni caso. > Permettere (specificando mac address) i client desiderati
Non capisco questo punto: che differenza c'è tra i client e la lan? > sorry per la notifica di lettura (disattivata) No problem. > Io metterei: > iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY > poi le autorizzazioni by mac address > che dici? > PS: questa regola però mi blocca anche il traffico lan, no? > Pol Sì in FORWARD ti blocca sicuramente (e considera che è DROP, non DENY). Io generalmente per le chain INPUT e FORWARD metto la policy di default a DROP e poi dichiaro i vari override. Per intenderci, la cosa più minimale: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT così non passa nulla. E da qui aggiungi gli override, per esempio: iptables -A FORWARD -i $IFLAN -p tcp -m multiport --dports 22 -m state --state NEW -j ACCEPT e abiliti l'ssh dall'interno della lan all'esterno ($IFLAN è l'interfaccia affacciata sulla LAN). -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5f680b.6010...@miamammausalinux.org
