Continua la lettura »]]> Ciao a tutti!

Oggi vi presentiamo un interessantissimo libro di cui siamo venuti a conoscenza, riguardante il nuovissimo sistema operativo di casa Microsoft: WINDOWS 7 – RETI, SICUREZZA, TECNICHE AVANZATE!

Gli autori del libro sono Marco Maltraversi di Casalmaggiore (CR), Antonio Di Fluri di Torrile di Parma e con la collaborazione di Turchetti Valentina di San Giacomo delle Segnate (Mn).

Entrambi gli autori si sono laureati presso l’università degli studi di Parma da pochi anni e hanno ben pensato di preparare una guida completa a Windows Seven, che sta gradualmente trovando la sua dimensione sul mercato dei Sistemi Operativi e che si propone di migliorare i sistemi Microsoft precedenti, sia sotto il profilo della “user experience”, sia per quanto riguarda gli aspetti legati alla stabilità e alla sicurezza.

Per saperne di più, ecco la pagina ufficiale del libro: http://www.ingegneridelweb.com/it/windows7.aspx.

La casa editrice è la FAG di Milano http://www.fag.it/
Il libro sarà acquistabile anche on-line direttamente dal sito della casa editrice:
http://www.fag.it/scheda.aspx?ID=32738 e nelle migliori librerie on-line.
Ecco gli altri riferimenti:

• prezzo: Euro 58,90
• caratteristiche 784 pag – 17×24 bn
• ISBN 9788882338657

Per un’occhiata all’indice, ecco qui il link: http://www.ingegneridelweb.com/public/windows7/sommario_Win7Adv.pdf

Continua la lettura »]]> Ciao a tutti!

Oggi parliamo di integrity check sui files e di un metodo semplice semplice per realizzarla sotto Linux, grazie al comando MD5SUM.

L’integrità dei files è un aspetto che riveste importanza fondamentale! In particolare, la necessità di garantire la certezza che i propri files non siano modificati da agenti esterni e/o da software al di fuori del nostro controllo assume un ruolo determinante in diversi contesti.

Ad esempio, pensate alla possibilità di riconoscere i files modificati da un virus e/o da una backdoor. Oppure, ancora, pensate alla necessità di garantire l’integrità dei files di backup di un server, da utilizzare in caso di danneggiamento di quest’ultimo. Si potrebbero fare tanti altri esempi, ma il succo è sempre lo stesso: adottare tutte le misure per essere certi che i nostri files non siano cambiati.

Sotto Linux esiste un metodo semplicissimo per realizzare l’integrity check sui files: il comando md5sum. Per conoscerne le opzioni, basta digitare, da terminale, il comando seguente

man md5sum

L’utilizzo più semplice è il seguente:

md5sum  nomefile  >  nomefile.md5.txt

Questo comando genera l’hash MD5 dal file chiamato “nomefile” e lo inserisce nel file “nomefile.md5.txt”.

Per verificare, in seguito, che il file “nomefile” non sia stato modificato, basta digitare:

md5sum -c nomefile.md5.txt

Nella maggior parte dei casi, può essere più utile effettuare un controllo ricorsivo di tutti i files (e di tutte le sottodirectories) contenuti all’interno di una directory. Il comando md5sum non presenta una opzione per l’analisi ricorsiva delle directories, perciò bisogna chiedere aiuto al comando find. Ecco di seguito il comando da lanciare, dopo esserci posizionati nella cartella per la quale vogliamo il controllo di integrità:

find . -name ‘*’ -exec md5sum {} > file.md5.txt \;

In tal modo, facciamo si che il comando find rilevi i nomi di tutti i files all’interno della cartella corrente e che esegua (opzione exec), per ognuno di essi, il comando “md5sum nomefile >> file.md5.txt”.

Per la verifica, infine, basterà come al solito il comando “md5sum -c file.md5.txt”.

Fatto! Vi aspettavate qualcosa di più complesso? Ragazzi, non tutto ciò che è Linux, è complesso…

[tags]md5sum, integrity, check, linux, find, comando, terminale, integrità, file, ilbloggatore, bloggatore, space4tutorial[/tags]

Continua la lettura »]]> Ciao a tutti!

Come sapete, SPACE4TUTORIAL, tra gli altri argomenti, ama affrontare temi importanti come la sicurezza informatica. E quando scopre nuovi servizi come quelli offerti da CondorHacker.com non può far finta di niente!

Perciò, oggi vi parliamo di questo fantastico sito sull’hacking e del suo prodotto ChatHackerC&B:

, 

CondorHacker.com è un utilissimo sito WEB sul mondo degli hackers, dedicato a tutti coloro che, per gioco o per lavoro, hanno la necessità (e la curiosità) di approfondire l’argomento della sicurezza (pensate agli amministratori di reti e di sistemi, che ogni giorno sono impegnati a garantire la sicurezza di piccole e grandi aziende).

Il sito dà la possibilità di scaricare migliaia di software specifici e migliaia di manuali tecnici, tramite un apposito forum, utile anche per il supporto a quanti necessitano di aiuto e/o vogliono partecipare attivamente alla Community. I gestori di CondorHacker.com sono estremamente preparati e sono pronti a fornire informazioni e aiuto a tutti coloro che vi si rivolgano.

Ma la ciliegina sulla torta è rappresentata sicuramente dalla chat ChatHackerC&B: parliamo di un bellissimo e utilissimo software, che dà la possibilita di chattare in completo anonimato e con connessioni crittografate, ma non solo! Consente anche di scambiare file di tutte le estensioni a velocità elevate!

Per farvene un’idea, vi mostriamo questo video, di seguito! Ma il consiglio che diamo è sicuramente quello di scaricare ChatHackerC&B e di provare direttamente l’emozione di entrare in una vera chat destinata ad hackers, lamers ed esperti di sicurezza di ogni genere!

Già dai primi giorni, ChatHackerC&B ha dimostrato di essere un utilissimo e graditissimo strumento. Infatti, in soli 3 giorni, ha superato la quota di 16.800 utenti.Come dite? Vi siete stancati di leggere e volete subito provare?

E va bene! Allora vi lascio subito i links al sito e alla pagina della chat…

Sito WEB:  http://www.condorhacker.com/

ChatHackerC&B: http://www.condorhacker.com/chathacker3.html

[tags]chat, hacker, condor, sicurezza, informatica, sicurezza informatica, cracker, lamer, condorhacker, chathacker, crittografia, anonimato, strumento, software, forum, supporto, spacce4tutorial, ilbloggatore, bloggatore[/tags]

Continua la lettura »]]> Nome del software: Wireshark (ex Ethereal)

Descrizione: Wireshark è uno dei migliori e più completi analizzatori di rete che il panorama open sources mette a disposizione. Si tratta di uno sniffer che sorge da un precedente progetto nato nel 1998 e denominato Ethereal, per anni inserito in moltissime distribuzioni di GNU Linux. Esso è in grado di analizzare diversi protocolli. Una lista completa delle features è direttamente indicata sul sito del produttore. Ottimo per monitorare la sicurezza della vostra rete.

Home page:  http://www.wireshark.org/

Sistema Operativo: Windows, Linux, OS X, Solaris, FreeBSD, NetBSD e molti altri.

Link per il download: http://www.wireshark.org/download.html

[ratings]

[tags]wireshark, ethereal, open sources, sicurezza, rete, analizzatore, sniffer, windows, linux, sistemi operativi, software, download, ilbloggatore, space4tutorial[/tags]

Continua la lettura »]]> Ciao a tutti,

vi invio il link a questo nuovo ebook su Ubuntu Server, perché Ubuntu non è solo desktop e agli amministratori di sistema può servire sicuramente.

E poi, mi sembra giusto completare il quadro complessivo, no?

La versione alla quale si fa riferimento è la 6.10, ma la guida va certamente bene per qualsiasi più recente versione di questo fantastico sistema operativo. Unico neo: la guida è in inglese, ma d’altro canto, la maggior parte degli ebook è scritta in inglese, quindi non me ne vogliate

Il link è: https://help.ubuntu.com/6.10/pdf/ubuntu/C/serverguide.pdf

Buona lettura a tutti!

Continua la lettura »]]> Quello gestito da Ebay è sicuramente il servizio di aste on-line più famoso e più utilizzato dagli utenti del mondo intero. Al momento, non ha grandi rivali e ogni ora gestisce milioni di transazioni on-line (specie se consideriamo anche il sistema PayPal).

Negli ultimi giorni, tuttavia, è stato messo in evidenza, da un gruppo di hackers tedeschi, come sia non solo possibile, ma anche piuttosto semplice, condurre delle truffe tramite ebay…

[tags]ebay, tutorial, space, space4tutorial, ilbloggatore, informatica, video, truffe, truffa, affari, aste, pericolo[/tags]

[ratings]

Voi direte, sicuramente, che non è una novità essere truffati su ebay e/o su qualsiasi altro sistema on-line. Beh, vi dirò, non è una novita, ma vedere un video, nel quale una di queste truffe viene mostrata e spiegata per filo e per segno, fa un pò riflettere!

Poi, quando la truffa non porta semplicemente a perdere i soldi per una transazione, ma porta a lasciare i propri dati sensibili a chissà chi, dall’altra parte della rete, le cose si fanno ancora più pericolose!!!

Che si fa? Sicuramente non si può più fare a meno di Ebay e/o degli acquisti on-line (personalmente, se non fosse stato per Ebay, molti prodotti non li avrei trovati da nessun’altra parte…). Ma sapere che esistono certe tipologie e modalità di furto informatico, può ridurre il rischio di cadere nella trappola.

Non voglio condizionare nessuno con le mie riflessioni. Facciamo così, guardate questo video e ditemi cosa ne pensate…

cliccate qui: video

Continua la lettura »]]> L’articolo che presento quest’oggi vuole introdurre quello che rappresenta il software per eccellenza per la gestione del firewall del Sistema Operativo Linux.

Iptables è diventato un elemento essenziale di tutte le distribuzioni di Linux, da quelle orientate ai server, a quelle che apparentemente possono avere meno bisogno di un firewall a protezione del sistema, ovvero i desktop o alcuni sistemi embedded.

Iniziamo ad analizzare quelle che sono le sue caratteristiche essenziali, con questa mini guida che illustra la filosofia che sta alla base del funzionamento del framework Netfilter. Successivamente, ulteriori articoli illustreranno l’uso di base e avanzato del comando iptables …

[ratings]

[tags]iptables, netfilter, linux, firewall, rete, network, protezione, sistema, operativo, space, tutorial, space4tutorial, nat, natting, input, output, mangling, pacchetti, guida, manuale[/tags]

Iniziamo subito precisando che Iptables e NetFilter, in realtà, non sono due prodotti software distinti. Al contrario, si tratta di due componenti dello stesso sistema software.

Infatti, NetFilter rappresenta il framework che si occupa della gestione della sicurezza di rete nel cosiddetto “kernel-space”, mentre iptables consiste nel programma che realizza l’interfaccia utente del sistema di firewalling. Infatti, iptables è il comando di Linux che consente all’utente di definire le regole da utilizzare per la gestione dei pacchetti di rete, da parte del firewall.

In pratica, per implementare un firewall su un sistema Linux, basta imparare ad utilizzare iptables e la sua sintassi. Questo tutorial intende proprio dare le indicazioni di base per consentirvi di iniziare a realizzare il vostro firewall.

Iniziamo subito con la descrizione del funzionamento di iptables.

Iptables si basa su 3 tabelle, ognuna delle quali, a sua volta, comprende diverse chains, ovvero le cosiddette “catene” di regole (rules del firewall): 

1. filter: la tabella che riguarda le regole per il filtraggio dei pacchetti;

2. nat: la tabella che riguarda le regole per la gestione della cosiddetta Traduzione Automatica degli indirizzi di rete (NAT sorgente o destinazione – in seguito saranno meglio spiegati);

3. mangle: la tabella contenente le regole che consentono la modifica dei particolari flags contenuti nelle intestazioni dei pacchetti di rete.

Per ognuna di queste tabelle, abbiamo a disposizione delle catene principali, secondo il seguente schema: 

• filter:

INPUT –> per i pacchetti in ingresso sulle interfacce di rete

OUTPUT –> per i pacchetti in uscita dalle interfacce di rete

FORWARD –> per i pacchetti che attraversano l’host sul quale è implementato il firewall (che sono entrati da una interfaccia di rete e devono essere ruotati su un’altra interfaccia, tipicamente su host destinati a svolgere funzioni di routing)

•  nat:

PREROUTING –> per i pacchetti che devono essere ruotati, prima che il sistema operativo prenda le decisioni relative al routing (tipicamente Destination NAT)

POSTROUTING –> per i pacchetti che devono essere ruotati, dopo che il sistema operativo ha preso le decisioni relative al routing (tipicamente Source NAT o mascheramento IP)

•  mangle:

INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING –> prevede tutte le catene principali, in quanto l’alterazione dell’header di un pacchetto può essere effettuata in input, output o in tutti gli altri casi, a seconda delle esigenze. Tuttavia, bisogna evidenziare che questa tabella è poco utilizzata per gli scopi convenzionali, mentre può risultare utile se risulta necessaria una configurazione più particolare degli aspetti di rete.

Quando si utilizza il comando iptables, si fa riferimento, per ogni regola, a queste tre tabelle e alle chains corrispondenti. Ecco il motivo di questa descrizione.

I pacchetti di rete che arrivano su un’interfaccia di rete dove è utilizzato il framework netfilter/iptables, seguono un determinato percorso, attraverso queste catene. E questo percorso è molto importante, dal momento che le regole da definire devono rispettarlo, per consentire al firewall di funzionare correttamente.

In particolare, i pacchetti in ingresso seguono il percorso:

mangle prerouting –> nat prerouting –> filter input

Quelli in uscita, invece, seguono quest’altro:

mangle output –> nat output –> filter output

I pacchetti che attraversano l’host, destinati ad altri host remoti (forwarding), seguono il seguente percorso, attraverso le chains:

mangle prerouting –> nat prerouting –> filter forward

Ogni pacchetto che viene passato al setaccio da iptables, viene confrontato con le regole di iptables relative alle catene che attraversa. Se coincide con una di queste regole, allora segue ciò che è definito dalla regola corrispondente, altrimenti segue ciò che è definito dalla policy della catena corrispondente.

Infatti, per ogni catena è definita una Policy, ovvero una regola generale da rispettare nel caso in cui il pacchetto non trova riscontro nelle regole indicate.

Nel prossimo articolo, che arriverà presto, vedremo come utilizzare il comando iptables per gestire Netfilter e le diverse catene presentate qui, allo scopo di realizzare il nostro firewall… pazientate, ragazzi!

Se poi ci sono suggerimenti, sappiate che sono sempre bene accetti!

Ciao!

Continua la lettura »]]> Un saluto caloroso a tutta la community di SPACE 4 TUTORIAL!

L’argomento che voglio presentarvi oggi, così, per riprendermi dalle vacanze matrimoniali, riguarda una favolosa distribuzione basata sul sistema operativo Linux, realizzata specificatamente per consentire agli utilizzatori di realizzare un firewall con la possibilità di far accedere i computer di una rete locale (LAN) a Internet.

Infatti, uno degli utilizzi che sempre più spesso si fa di Linux consiste nell’impiegare le sue caratteristiche avanzate di networking, per ottenere un firewall a costo zero (le alternative commerciali costano)!

Introduciamo questa distribuzione e vediamo insieme le sue caratteristiche principali… 

[ratings] 

[tags]smoothwall,linux,firewall,proxy,gpl,tutorial,manuale,space4tutorial,space,[/tags]

ATTENZIONE: Prima di installare il prodotto, assicurarsi che sul computer da utilizzare come firewall non vi siano dati importanti, o che comunque vi servano, perché il tool di installazione agisce sul disco rigido senza far troppe domande e rischiate di perdere tutti i dati. Personalmente, avevo letto qualcosa del genere su Internet e per questo ho provato: effettivamente, ho perso le informazioni di boot e ora devo reinstallare GRUB o LILO per vedere gli altri sistemi operativi che avevo già installato. Suggerisco di fare tutte le copie necessarie, prima di procedere oltre, perché in caso di perdita dei vostri dati, gli unici responsabili siete voi…. (mamma mia, sembra una minaccia!)

Dunque, andiamo avanti. Perché SmoothWall? Risposta breve: Perché è facile da utilizzare! Risposta completa: Si tratta di uno dei migliori prodotti Linux based, relativamente alla realizzazione di un firewall e, grazie ad una comodissima interfaccia via WEB, per l’amministrazione, si rivela uno strumento configurabile facilmente sulla base delle proprie necessità. Inoltre, la distribuzione è realizzata includendo già solo i pacchetti software strettamente necessari alla realizzazione del firewall, con uno specifico occhio verso la sicurezza.

Diversamente, possiamo realizzare il nostro firewall con una qualsiasi distribuzione Linux, ma dobbiamo configurarne anche tutte le opzioni di sicurezza e rimuovere i pacchetti non necessari o che possono rendere il nostro firewall vulnerabile ad attacchi esterni.

SmoothWall è scaricabile dal sito del produttore: http://www.smoothwall.org/ (al momento in cui si scrive, la versione disponibile è la Express 3.0). Si tratta di una ISO da meno di 70 Mb, che deve essere masterizzata su CD.

A questo punto, avviate il PC da CD-ROM e accedete al tool di installazione.

L’installazione di SmoothWall è molto semplice e veloce e durante questa fase vi verranno richieste tutte le informazioni necessarie a configurare la rete nella quale opererà il firewall, secondo le vostre esigenze. Una volta installato, vi sarà richiesto di riavviare il computer. Compiuta quest’operazione, il firewall sarà già pronto per essere configurato ed amministrato, tramite la console, o tramite la più semplice interfaccia web, disponibile sulla porta 81, come ci indica anche il tool di installazione.

Le funzionalità configurabili sono diverse. Le principali:

• gestione delle VPN

• PROXY WEB, FTP, IRC, nonché gestione delle applicazioni di Instant Messaging e di VOIP

• tool di rilevamento automatico delle intrusioni

• tool per la gestione della banda

• antivirus per le email (tramite proxy POP3)

• monitoraggio utenti e traffico di rete, con opportuni grafici

• possibilità di interfacciare fino a 4 access point wireless

Alcune screenshot sono disponibili al seguente link: http://www.smoothwall.org/about/screenshots.php

Ve ne mostro due, tra quelle che trovo più accattivanti…

Sebbene l’interfaccia di configurazione WEB sia molto intuitiva, per alcune particolari configurazioni potreste avere bisogno del manuale d’uso. Esso è disponibile, insieme alla ISO, sul sito del produttore ed è fatto molto bene.

Spero che questo articolo sia stato utile, almeno per sapere che esiste la possibilità di ricorrere a questi strumenti già pronti, per quanti hanno questa esigenza.

Continua la lettura »]]> Ciao a tutti!

Pubblico questo articolo che ho trovato navigando sul Flocca’s blog, che potrebbe interessare molti amministratori di sistema e della sicurezza. Non si tratta di un tutorial completo per essere al sicuro da attacchi informatici, bensì di alcune dritte che credo siano da tener presenti per la messa in sicurezza di un sistema informatico realizzato con Linux.

[tags]ssh,tutorial,sicurezza,linux,attacco,attacks,flocca,blog,space,space4tutorial[/tags]

Livello: medio

Per chi ha una macchina linux (o unix) raggiungibile tramite IP pubblico, non è raro trovare ogni giorno nei log centinaia di linee simili a queste:

May 14 22:23:58 mail sshd[13482]: Illegal user test1 from ::ffff:222.122.142.x
May 14 22:24:01 mail sshd[13484]: Illegal user test1 from ::ffff:222.122.142.x
May 14 22:24:04 mail sshd[13486]: Illegal user test1 from ::ffff:222.122.142.x
May 14 22:24:08 mail sshd[13488]: Illegal user test1 from ::ffff:222.122.142.x
May 14 22:24:10 mail sshd[13490]: Illegal user test1 from ::ffff:222.122.142.x
May 14 22:24:14 mail sshd[13492]: Illegal user test1 from ::ffff:222.122.142.x

Questo è evidentemente un segnale che è in corso un attacco automatizzato tramite il metodo “forza bruta” o a dizionario al quale sshd, se aggiornato, configurato correttamente e se le password degli utenti che hanno accesso al sistema sono sicure, di norma reagisce bene. I messaggi nei log però rimangono e li rendono meno leggibili e più pesanti.

In questo post, presenterò alcune soluzioni che possono aiutare a rendere sshd più sicuro e ad evitare che i log si riempiano di questa robaccia.

Cambiare la porta di default

La porta standard su cui sshd si mette normalmente in ascolto, è la 22 (TCP). Appare perciò ovvio che cambiando questa porta, sostituendola con una > 1024, sarà più difficile per un malintenzionato capire se un server è accessibile tramite ssh (buona parte degli script kiddies in questo modo saranno tagliati fuori).

Per cambiare questa porta, è sufficiente modificare l’opzione…

Port 22

…nel file di configurazione /etc/ssh/sshd_config e riavviare sshd.

Limitazione degli utenti che possono accedere

Un’altra buona pratica, è quella di limitare l’accesso via ssh esclusivamente agli utenti per cui è strettamente necessario. Intanto disabilitiamo l’accesso tramite root con questa opzione:

PermitRootLogin no

Da ora in poi chi vorrà eseguire i comandi con i privilegi di root, dovrà utilizzare su o sudo. A questo punto possiamo specificare quali utenti possono accedere:

AllowUsers pippo gino

Volendo si può abilitare all’accesso un intero gruppo di utenti tramite l’opzione…

AllowGroups staff

In questo caso vanno aggiunti gli utenti al gruppo staff modificando /etc/group in questo modo:

staff:x:50:pippo,gino

Sfruttare il modulo limit di iptables

Un altro metodo molto semplice per limitare i tentativi di accesso tramite ssh, infine, è quello di sfruttare il modulo limit di iptables. Questa è la soluzione che utilizzo di solito io assieme alle limitazioni sugli utenti di cui vi ho appena parlato. Non mi addentrerò nella configurazione completa di iptables, ma vi farò solo un esempio di come utilizzarlo:

/sbin/iptables -A INPUT -p tcp --dport 22 -m limit --limit 1/min --limit-burst 3 -j ACCEPT

Con la policy di default impostata a DROP (tramite /sbin/iptables -P INPUT DROP), questa regola limiterà gli accessi ad uno per minuto dopo averne accettati 3 nel primo. Questo di solito e sufficiente per mandare in timeout gli script dei malintenzionati.

Altre soluzioni

Di sicuro questo non vuole essere un post esaustivo di tutte le possibili soluzioni… diciamo che queste sono le più utilizzate e le più rapide da implementare. Ho omesso volutamente la questione dell’accesso tramite chiave pubblica perché ho intenzione di dedicargli un post intero prossimamente… e magari vi parlerò anche del Port Knocking. Stay tuned!

Fonte: Il Flocca’s blog – link http://blog.flocca.com/?p=14

Continua la lettura »]]> Questo invece è un articolo su come configurare il firewall iptables per svolgere le normali funzioni su un desktop, tratto dal blog di Vincenzo Spena. Spero che possa essere utile a coloro che utilizzano il proprio PC con Linux e vogliano partire da una configurazione di iptables già pronta, per comprenderne il funzionamento…

Livello: Medio

Ho fatto un piccolo script per iptables pensato per quelle persone che usano Linux ed il proprio computer per navigare in internet, scaricare la posta elettronica ed aggiornare di tanto in tanto il proprio sito web caricando le proprie immagini e/o pagine mediante un client Ftp. Lo script è davvero molto semplice (anche perchè non sarei in grado di farne uno più complicato ), l’ho testato su Ubuntu e sembra funzionare. Basta copiare il testo di seguito specificato, incollarlo in un editor di testi e salvarlo (io l’ho salvato col nome “firewall” ). A questo punto bisogna rendere eseguibile il file con un bel chmod 755 e fare in modo che venga eseguito all’avvio del sistema operativo. Su Ubuntu mi è bastato copiare questo file nella directory /etc/network/if-up.d.

Ecco lo script

#! /bin/sh

# Azzero il firewall
iptables -F
iptables -X

# Policy di default
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Autorizzo il traffico locale (localhost) – Necessario per alcuni servizi sul computer locale (es. X11)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Fammi navigare in internet
iptables -A INPUT -p tcp –sport 80 -j ACCEPT # http
iptables -A INPUT -p udp –sport 80 -j ACCEPT # http
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT # http
iptables -A OUTPUT -p udp –dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp –sport 443 -j ACCEPT # https
iptables -A INPUT -p udp –sport 443 -j ACCEPT # https
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT # https
iptables -A OUTPUT -p udp –dport 443 -j ACCEPT # https
iptables -A INPUT -p tcp –sport 53 -j ACCEPT # dns
iptables -A INPUT -p udp –sport 53 -j ACCEPT # dns
iptables -A OUTPUT -p tcp –dport 53 -j ACCEPT # dns
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns

# Fammi usare la posta elettronica con programmi tipo evolution, kmail, etc…
iptables -A INPUT -p tcp –sport 110 -j ACCEPT # pop3
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT # pop3
iptables -A INPUT -p tcp –sport 25 -j ACCEPT # smtp
iptables -A OUTPUT -p tcp –dport 25 -j ACCEPT # smtp

# Fammi usare i client Ftp come ad esempio Gftp
iptables -A INPUT -p tcp –sport 20 -j ACCEPT # ftp-dati
iptables -A OUTPUT -p tcp –dport 20 -j ACCEPT # ftp-dati
iptables -A INPUT -p tcp –sport 21 -j ACCEPT # ftp
iptables -A OUTPUT -p tcp –dport 21 -j ACCEPT # ftp

# SERVIZI DA ATTIVARE SOLO NEL CASO SE NE FACCIA USO

# Ping ed altre utility
#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

# Proprio Web Server (solo http)
#iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
#iptables -A INPUT -p udp –dport 80 -j ACCEPT
#iptables -A OUTPUT -p udp –sport 80 -j ACCEPT

Si accettano suggerimenti!

Fonte: l’articolo è tratto dal blog di Vincenzo Spena ed è disponibile al link seguente: http://www.vispena.dyndns.org/index.php?entry=entry060824-185654