Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Vorrei un confronto con voi

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 63

MessaggioInviato: Mer Nov 04, 2015 9:59 am    Oggetto: Vorrei un confronto con voi Rispondi citando

Ciao,
Mi chiamo Davide, ed uso ZeroShell ormai da un bel po.
Le regole per il firewall che utilizzo sono sempre le stesse, da sempre, già dai tempi in cui mi facevo degli script a mano con iptables....
Mi è venuta voglia di confrontare la mia politica di filtering con le vostre che ne sapete moooolto più di me.
Essenzialmente io sono abituato a ragionare così:

-- INPUT sulla scheda WAN (FW <-- ETH01 <-- OUT)
Droppo tutto, lascio passare solo il traffico ESTABLISHED e RELATED.
Per me, non vi è alcun motivo lecito per accettare richieste che arrivano dall'esterno

-- INPUT sulla scheda LAN (LAN --> ETH00 --> FW)
Lascio passare tutto. Per me è lecito che i PC della LAN possano comunicare col Firewall

-- Output attraverso la scheda WAN (FW --> ETH01 --> OUT)
Lascio passare, non vedo il motivo di bloccare tale traffico, il Firewall ha bisogno di contattare l'SMTP per esempio, per mandare le email di Warning

-- OUTPUT attraverso la scheda LAN (LAN <-- ETH00 <-- FW)
Anche qui non vedo motivi per bloccare il traffico e lascio passare.
A proposito, tutto ciò che lascio passare qui, ma anche nelle altre CHAIN però lo loggo... non si sa mai

-- FORWARD da fuori a dentro (LAN <-- ETH00 <-- FW <-- ETH01 <-- OUT)
Se il traffico è nella CHAIN FORWARD è perchè l'ho deciso io, è perchè ho
creato un Virtual Server perchè evidentemente ho dei servizi interni
da far raggiungere dall'esterno (Un server WEB, FTP etc...)
Va da se che che non ha senso bloccare tale traffico. Questo è anche il motivo per cui droppo tutto la CHAIN di INPUT, tanto il traffico dei Virtual Server sta in questa CHAIN.

--FORWARD da dentro a fuori (LAN --> ETH00 --> FW --> ETH01 --> OUT)
Questa è la navigazione della LAN. Molti colleghi lasciano passare tutto. Io invece blocco tutto. Ciò richiede un po di fatica nell'aprire tutte le porte che servono ad una navigazione "normale" (80, 443, 110, 995, 25, 21 etc..), ma ciò mi permette di bloccare il traffico generato da un eventuale Trojan o Malware in genere. Di solito il software dannoso non aspetta un collegamento NEW in ingresso, che quasi sempre verrebbe bloccato da un firewall, ma fanno chiamate in uscita stabiliscono un tunnel, e ricevono traffico in ingresso che ormai essendo ESTABLISHED non viene ovviamente droppato.

Voi invece, come agite?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it