Re: iptables (bloccare tutto specificando mac address)
Il giorno Mar 13 Mar 2012 14:45:21 CET, Pol Hallen ha scritto: [...] Potrebbe essere sufficiente modificare queste regole impostando un DENY anzichè un ACCEPT? iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT Sì, ma occhio all'ordine. Se metti in testa questa in DENY allora tutti matcheranno questa. E quindi avrai un DENY globale. La DENY deve andare in fondo (oppure deve essere impostata a livello di tabella, usando -P). Bye, -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5f5a3e.5080...@miamammausalinux.org
Re: iptables (bloccare tutto specificando mac address)
L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso internet), acconsentire quello della lan in ogni caso. Permettere (specificando mac address) i client desiderati sorry per la notifica di lettura (disattivata) Io metterei: iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY poi le autorizzazioni by mac address che dici? PS: questa regola però mi blocca anche il traffico lan, no? Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201203131557.43788.polhal...@fuckaround.org
Re: iptables (bloccare tutto specificando mac address)
Il giorno Mar 13 Mar 2012 15:57:43 CET, Pol Hallen ha scritto: L'idea di base è bloccare tutto il traffico dei client (tutto il traffico verso internet), acconsentire quello della lan in ogni caso. Permettere (specificando mac address) i client desiderati Non capisco questo punto: che differenza c'è tra i client e la lan? sorry per la notifica di lettura (disattivata) No problem. Io metterei: iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j DENY poi le autorizzazioni by mac address che dici? PS: questa regola però mi blocca anche il traffico lan, no? Pol Sì in FORWARD ti blocca sicuramente (e considera che è DROP, non DENY). Io generalmente per le chain INPUT e FORWARD metto la policy di default a DROP e poi dichiaro i vari override. Per intenderci, la cosa più minimale: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT così non passa nulla. E da qui aggiungi gli override, per esempio: iptables -A FORWARD -i $IFLAN -p tcp -m multiport --dports 22 -m state --state NEW -j ACCEPT e abiliti l'ssh dall'interno della lan all'esterno ($IFLAN è l'interfaccia affacciata sulla LAN). -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5f680b.6010...@miamammausalinux.org