Questo invece è un articolo su come configurare il firewall iptables per svolgere le normali funzioni su un desktop, tratto dal blog di Vincenzo Spena. Spero che possa essere utile a coloro che utilizzano il proprio PC con Linux e vogliano partire da una configurazione di iptables già pronta, per comprenderne il funzionamento…

Livello: Medio

Ho fatto un piccolo script per iptables pensato per quelle persone che usano Linux ed il proprio computer per navigare in internet, scaricare la posta elettronica ed aggiornare di tanto in tanto il proprio sito web caricando le proprie immagini e/o pagine mediante un client Ftp. Lo script è davvero molto semplice (anche perchè non sarei in grado di farne uno più complicato ), l’ho testato su Ubuntu e sembra funzionare. Basta copiare il testo di seguito specificato, incollarlo in un editor di testi e salvarlo (io l’ho salvato col nome “firewall” ). A questo punto bisogna rendere eseguibile il file con un bel chmod 755 e fare in modo che venga eseguito all’avvio del sistema operativo. Su Ubuntu mi è bastato copiare questo file nella directory /etc/network/if-up.d.

Ecco lo script

#! /bin/sh

# Azzero il firewall
iptables -F
iptables -X

# Policy di default
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Autorizzo il traffico locale (localhost) – Necessario per alcuni servizi sul computer locale (es. X11)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Fammi navigare in internet
iptables -A INPUT -p tcp –sport 80 -j ACCEPT # http
iptables -A INPUT -p udp –sport 80 -j ACCEPT # http
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT # http
iptables -A OUTPUT -p udp –dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp –sport 443 -j ACCEPT # https
iptables -A INPUT -p udp –sport 443 -j ACCEPT # https
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT # https
iptables -A OUTPUT -p udp –dport 443 -j ACCEPT # https
iptables -A INPUT -p tcp –sport 53 -j ACCEPT # dns
iptables -A INPUT -p udp –sport 53 -j ACCEPT # dns
iptables -A OUTPUT -p tcp –dport 53 -j ACCEPT # dns
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns

# Fammi usare la posta elettronica con programmi tipo evolution, kmail, etc…
iptables -A INPUT -p tcp –sport 110 -j ACCEPT # pop3
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT # pop3
iptables -A INPUT -p tcp –sport 25 -j ACCEPT # smtp
iptables -A OUTPUT -p tcp –dport 25 -j ACCEPT # smtp

# Fammi usare i client Ftp come ad esempio Gftp
iptables -A INPUT -p tcp –sport 20 -j ACCEPT # ftp-dati
iptables -A OUTPUT -p tcp –dport 20 -j ACCEPT # ftp-dati
iptables -A INPUT -p tcp –sport 21 -j ACCEPT # ftp
iptables -A OUTPUT -p tcp –dport 21 -j ACCEPT # ftp

# SERVIZI DA ATTIVARE SOLO NEL CASO SE NE FACCIA USO

# Ping ed altre utility
#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

# Proprio Web Server (solo http)
#iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
#iptables -A INPUT -p udp –dport 80 -j ACCEPT
#iptables -A OUTPUT -p udp –sport 80 -j ACCEPT

Si accettano suggerimenti!

Fonte: l’articolo è tratto dal blog di Vincenzo Spena ed è disponibile al link seguente: http://www.vispena.dyndns.org/index.php?entry=entry060824-185654