IPtables for Fun -- Implementare un firewall in linux: Filtrare il traffico con iptables: Definizione delle policy

8.4 Definizione delle policy

Iniziamo quindi a parlare di iptables, ed iniziamo proprio definendo la ``politica'' di default delle catene di base, cioè l'azione che deve essere presa nel caso in cui nessuna regola si possa applicare al particolare pacchetto. Per fare questo, basta dare:


12: iptables -P INPUT DROP
13: iptables -P OUTPUT DROP
14: iptables -P FORWARD DROP

Qui vediamo proprio che se un match non viene trovato, i pacchetti devono essere ``buttati via'' (DROP), proprio come se non fossero mai stati ricevuti (o richiesto l'invio, a secondo della catena).

Oltre a DROP, esistono molte altre azioni che è possibile specificare, dove le principali sono:

ACCEPT -- lascia passare il pacchetto
QUEUE -- passa il pacchetto ad un programma in userspace

Di base, le due azioni che userete di più sono ACCEPT e DROP. QUEUE difficilmente lo userete. Spesso però vi capiterà di usare delle ``target extensions'', ossia dei particolari target che sono forniti tramite dei moduli esterni (vi ricordate tutte le patch applicate col patch-o-matic? Molte hanno dato origine a dei nuovi target).

E' buona abitudine mettere come politica di default quella di buttare via i pacchetti, dopodichè consentire esplicitamente tutto ciò che vogliamo fare passare. Questo principalmente per due motivi:

è facile rendersi conto di cosa si è dimenticato chiuso (molti dei vostri utenti vi telefoneranno fino alla saturazione delle linee telefoniche pur di vedere il loro client preferito funzionare), mentre è molto più difficile vedere cosa si è dimenticato aperto.
non è facile riconoscere tutto ciò che c'è da bloccare. Per esempio, Usando una politica di ACCEPT, è estremamente difficile prevedere ciò che potrà essere utilizzato per aggirare le restrizioni, contando che spesso non è obbligatorio seguire gli standard e una persona un po' sveglia potrebbe modificare il kernel di due macchine linux per utilizzare un protocollo che nulla ha a che vedere col tcp e che mai noi ci saremmo immaginati di dover bloccare (trattandosi, magari, di un protocollo inventato di sana pianta)...

Un comando che vi può essere utile nello scrivere le regole si chiama ``nstreams'': questo stamperà a video l'elenco di tutte le connessioni in corso su una rete...

Avanti Indietro Indice