IPTables: Catene - democritos

More documents

Recommendations

Info

LoggingDecidere cosa loggare è complesso, bisogna evitare che lamacchina attaccata possa crollare sotto il peso dei log (dischipieni e tempo CPU occupato a scrivere i log). Sarebbe bello poterloggare ogni singolo pacchetto, ma di solito è ragionevole loggaresolo i pacchetti a cui si è negato l'accesso (usandoopportunamente “-m limit” per evitare un auto-DoS...).●Le azioni che consentono il logging sono:– LOG (kernel-space logging): consente di definire il log-level(debug, warn, alert, ...), log-prefix (commento), logging delleopzioni TCP e IP, del sequencing e dello userid (solo inOUTPUT). È possibile accedere ai log con dmesg o syslogd.– ULOG (user-space logging): è possibile accedere ai log conulogd. Utilizzando l'estensione pcap, è possibile loggarel'intero pacchetto per una successiva analisi (tcpdump,ethereal). Come curiosità, usando p0f è possibile azzardareun passive OS fingerprinting sui pacchetti catturati.40
Logging: comandiUtilizzando le catene qui riportate, basta rimpiazzare opportunamente nelleregole precedenti i vari “-j DROP/REJECT” con “-j logndrop/lognreject”.INPUT:-A logndrop -m unclean -j LOG --log-level debug \--log-prefix "iptables: unclean packet: " \--log-tcp-sequence --log-tcp-options --log-ip-options-A logndrop -m limit --limit 5/m --limit-burst 60 -j LOG \--log-level debug --log-prefix "iptables: "-A logndrop -j UDROP-A UDROP -m limit --limit 5/m --limit-burst 30 -j ULOG-A UDROP -j DROPOUTPUT:-A lognreject -m unclean -j LOG --log-level debug \--log-prefix "iptables: unclean: " --log-tcp-sequence \--log-tcp-options --log-ip-options --log-uid-A lognreject -m limit --limit 5/m --limit-burst 60 -j LOG \--log-level debug --log-prefix "iptables: outdrop: " \--log-uid-A lognreject -j REJECT --reject-with icmp-admin-prohibited41
Page 1 and 2: Corso IFTS TST 2005-2007Tecnico Sup
Page 3 and 4: Firewall: cos'è e a cosa serve●N
Page 5 and 6: Firewall: limiti●●●non proteg
Page 7 and 8: Classificazione/Tipi 2/2Per disposi
Page 9 and 10: Stateless o stateful ? 1/2CONNESSIO
Page 11 and 12: Stateful !●Per ogni nuova conness
Page 13 and 14: Osservazioni●Il firewall è solo
Page 15 and 16: ConsiderazioniPer una policy di sic
Page 17 and 18: PremessaIL FIREWALL È SOLO LA PRIM
Page 19 and 20: Netfilter: cos'è●●●●●●
Page 21 and 22: Netfilter: user-space tools●linux
Page 23 and 24: IPTables: CateneUna catena è una A
Page 25 and 26: IPTables: Regole●●ogni regola d
Page 27 and 28: IPTables: Azioniiptables [-t TABELL
Page 29 and 30: IPTables: Parametri (sintassi) 2/2
Page 31 and 32: IPTables: connection trackingiptabl
Page 33 and 34: Configurazione●●●●command l
Page 35 and 36: Cosa filtrare: comandi 1/3-A INPUT
Page 37 and 38: Cosa filtrare: comandi 3/3-A INPUT
Page 39: Filtrare l'OUTPUT: comandi-A indiri
Page 43 and 44: Verifica: TCP/UDP 1/3Alcuni esempi
Page 45 and 46: Verifica: monitoraggio 3/3Alcuni co
Page 47 and 48: RISORSE E LINK UTILISOFTWARE: Linux

IPTables: Catene - democritos

Create successful ePaper yourself

Delete template?

Save as template?