# iptables [RISOLTO]

## Allanon

bash-2.05b# iptables -L -n -v

Chain INPUT (policy DROP 44 packets, 3168 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:23 

  359 73812 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spt:53 

29403   42M ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 

 1707 2477K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:873 

  140 10647 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:21 

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 21 packets, 1789 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:23 

  359 23613 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53 

18522 1364K ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 

 1227 92211 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:873 

  139  7563 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:21 

Mi sono creato questa piccola configurazione, so che è banale ma considerate che mi sono avvicinato a iptables da pochi giorni, e mi sono imbattuto in un problema, non riesco a visualizzare siti ftp   :Question: 

Ma le regole

# iptables -A INPUT -p tcp -i eth0 --sport ftp -j ACCEPT

e

# iptables -A OUTPUT -p tcp -o eth0 --dport -j ACCEPT

non dovrebbero permettermi di accedere a tali siti?

Grazie delle risposte.Last edited by Allanon on Sat Mar 20, 2004 9:44 pm; edited 1 time in total

----------

## comio

devi mettere sia ftp che ftp-data (due regole). La prima per uscie l'altra per entrare. Le porte sono la 20 e la 21

-A INPUT -p tcp --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

----------

## Allanon

 *comio wrote:*   

> devi mettere sia ftp che ftp-data (due regole). La prima per uscie l'altra per entrare. Le porte sono la 20 e la 21
> 
> -A INPUT -p tcp --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

 

disturbo troppo se ti chiedo a cosa servono le opzioni "-m state --state RELATED,ESTABLISHED"   :Embarassed: 

----------

## comio

 *Allanon wrote:*   

> disturbo troppo se ti chiedo a cosa servono le opzioni "-m state --state RELATED,ESTABLISHED"  

 

Server per fare l'ispezione stateful (con la macchina a stati) dei pacchetti.

RELATED indica che il pacchetto è relativo a qualche altra connessione (ftp), mentre ESTABLISHED indica che connessione "stabilita".

Ti consiglio di andare sul sito di netfileter e cercare il "connection tracking".

ciao

----------

## Allanon

 *comio wrote:*   

> devi mettere sia ftp che ftp-data (due regole). La prima per uscie l'altra per entrare. Le porte sono la 20 e la 21
> 
> -A INPUT -p tcp --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

 

Non funziona ugualmente    :Crying or Very sad: 

----------

## comio

 *comio wrote:*   

> devi mettere sia ftp che ftp-data (due regole). La prima per uscie l'altra per entrare. Le porte sono la 20 e la 21
> 
> -A INPUT -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

 

era un sport. 

Comunque per farla breve devi aprire:

INPUT --sport=20

OUTPUT --dport=20

Ciao

----------

## Allanon

 *comio wrote:*   

>  *comio wrote:*   devi mettere sia ftp che ftp-data (due regole). La prima per uscie l'altra per entrare. Le porte sono la 20 e la 21
> 
> -A INPUT -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT 
> 
> era un sport. 

 

Si avevo capito ugualmente

 *Quote:*   

> Comunque per farla breve devi aprire:
> 
> INPUT --sport=20
> 
> OUTPUT --dport=20
> ...

 

L'ho fatto ma niente da fare, mi sa che manca qualcosa   :Sad:  [/quote]

----------

## comio

io ti do un link a questo punto:

http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html

Comunque, volendo fare delle regole naive:

iptables -A INPUT     -p tcp --sport 21 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT 

iptables -A INPUT     -p tcp --sport 20 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT 

ciao

----------

## comio

cosa che mi era sfuggita, hai il modulo per il connection tracking caricato?

(ip_conntrack_ftp in questo caso)

Ciao

----------

## Allanon

 *comio wrote:*   

> cosa che mi era sfuggita, hai il modulo per il connection tracking caricato?
> 
> (ip_conntrack_ftp in questo caso)
> 
> Ciao

 

# IP: Netfilter Configuration

#

CONFIG_IP_NF_CONNTRACK=y

CONFIG_IP_NF_FTP=y

CONFIG_IP_NF_IRC=y

CONFIG_IP_NF_TFTP=m

CONFIG_IP_NF_AMANDA=m

CONFIG_IP_NF_QUEUE=y

CONFIG_IP_NF_IPTABLES=y

CONFIG_IP_NF_MATCH_LIMIT=y

CONFIG_IP_NF_MATCH_IPRANGE=y

CONFIG_IP_NF_MATCH_MAC=y

CONFIG_IP_NF_MATCH_PKTTYPE=y

CONFIG_IP_NF_MATCH_MARK=y

CONFIG_IP_NF_MATCH_MULTIPORT=y

CONFIG_IP_NF_MATCH_TOS=y

CONFIG_IP_NF_MATCH_RECENT=y

CONFIG_IP_NF_MATCH_ECN=y

CONFIG_IP_NF_MATCH_DSCP=y

CONFIG_IP_NF_MATCH_AH_ESP=y

CONFIG_IP_NF_MATCH_LENGTH=y

CONFIG_IP_NF_MATCH_TTL=y

CONFIG_IP_NF_MATCH_TCPMSS=y

CONFIG_IP_NF_MATCH_HELPER=y

CONFIG_IP_NF_MATCH_STATE=y

CONFIG_IP_NF_MATCH_CONNTRACK=y

CONFIG_IP_NF_MATCH_OWNER=y

CONFIG_IP_NF_FILTER=y

CONFIG_IP_NF_TARGET_REJECT=y

CONFIG_IP_NF_NAT=y

CONFIG_IP_NF_NAT_NEEDED=y

CONFIG_IP_NF_TARGET_MASQUERADE=y

CONFIG_IP_NF_TARGET_REDIRECT=y

CONFIG_IP_NF_TARGET_NETMAP=y

CONFIG_IP_NF_TARGET_SAME=y

# CONFIG_IP_NF_NAT_LOCAL is not set

CONFIG_IP_NF_NAT_SNMP_BASIC=m

CONFIG_IP_NF_NAT_IRC=y

CONFIG_IP_NF_NAT_FTP=y

CONFIG_IP_NF_NAT_TFTP=m

CONFIG_IP_NF_NAT_AMANDA=m

CONFIG_IP_NF_MANGLE=y

CONFIG_IP_NF_TARGET_TOS=y

CONFIG_IP_NF_TARGET_ECN=y

CONFIG_IP_NF_TARGET_DSCP=y

CONFIG_IP_NF_TARGET_MARK=y

CONFIG_IP_NF_TARGET_CLASSIFY=y

CONFIG_IP_NF_TARGET_LOG=y

CONFIG_IP_NF_TARGET_ULOG=y

CONFIG_IP_NF_TARGET_TCPMSS=y

CONFIG_IP_NF_ARPTABLES=y

CONFIG_IP_NF_ARPFILTER=y

CONFIG_IP_NF_ARP_MANGLE=y

Ho caricato tutto con Y   :Question: 

----------

## comio

fai lsmod. se manca dai un modprobe

ciao

----------

## Allanon

 *comio wrote:*   

> fai lsmod. se manca dai un modprobe
> 
> ciao

 

bash-2.05b# lsmod

Module                  Size  Used by

ipv6                  215616  6 

nvidia               1701804  12 

yenta_socket           14336  0 

ide_tape               34256  0 

bash-2.05b# 

Modprobe non mi trova il modulo.

----------

## comio

ma hai avviato iptables? non vedo nessun modulo caricato!

----------

## Allanon

 *comio wrote:*   

> ma hai avviato iptables? non vedo nessun modulo caricato!

 

Mega figura di @#@#@   :Embarassed: 

Dopo averlo installato devo lanciare qualche comando per attivarlo   :Rolling Eyes: 

----------

## comio

ok... niente panico

allora dato "emerge -v iptables"?

poi per metterlo nel boot:

```

# rc-update add iptables default

```

Per attivarlo on the fly:

```

# /etc/init.d/iptables start

```

Per abilitare una modifica:

```

# /etc/init.d/iptables restart

```

fammi sapere

----------

## Allanon

Ho dato iptables save prima di # /etc/init.d/iptables start, visto che me lo chiedeva e adesso è attivo?

----------

## comio

fammi vedere esattamente quello che hai fatto come comandi. Così ti dico!

Ciao

----------

## Allanon

 *comio wrote:*   

> fammi vedere esattamente quello che hai fatto come comandi. Così ti dico!
> 
> Ciao

 

# emerge iptables 

# iptables save (dopo aver configurato come sopra)

# iptables start

----------

## comio

ok, supponendo che sia /etc/init.d/iptables.  In teoria dovrebbe andare.

Mi fai vedere le tue regole (usa iptables-save che esce qualcosa di più leggibile) così vediamo se sono ok. Fai comunque degli esperimenti per vedere se va.

ma va?

Ciao

----------

## Allanon

bash-2.05b# iptables-save > /home/enrico/iptables.sample.txt

bash-2.05b# cat /home/enrico/iptables.sample.txt

# Generated by iptables-save v1.2.9 on Sat Mar 20 12:47:34 2004

*nat

:PREROUTING ACCEPT [601:42958]

:POSTROUTING ACCEPT [1069:65486]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed on Sat Mar 20 12:47:34 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 12:47:34 2004

*mangle

:PREROUTING ACCEPT [190758:274322553]

:INPUT ACCEPT [190758:274322553]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [118181:8155843]

:POSTROUTING ACCEPT [118072:8146941]

COMMIT

# Completed on Sat Mar 20 12:47:34 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 12:47:34 2004

*filter

:INPUT DROP [114:8208]

:FORWARD DROP [0:0]

:OUTPUT DROP [10:600]

-A INPUT -i eth0 -p tcp -m tcp --sport 23 -j DROP 

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 23 -j DROP 

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 

-A OUTPUT -o lo -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT 

COMMIT

# Completed on Sat Mar 20 12:47:34 2004

bash-2.05b# 

Non riesco ad entrare nei siti ftp, come ad es. ftp://ftp.kernel.org/pub/  :Confused: 

----------

## comio

```

*filter

:INPUT DROP [114:8208]

:FORWARD DROP [0:0]

:OUTPUT DROP [10:600]

```

Ok

```

-A INPUT -i eth0 -p tcp -m tcp --sport 23 -j DROP 

```

inutile, la politica è di drop... quindi questa regola è ridondante

```

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

```

Per estetica scambierei le ultime righe

```

-A OUTPUT -o eth0 -p tcp -m tcp --dport 23 -j DROP 

```

inutile, la politica è di drop... quindi questa regola è ridondante. Perché vietare di fare un telnet? in questo modo non permetti di fare telnet sulle macchine remote. Questa regola non serve per vietare il telnet SULLA tua macchina.

```

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 

-A OUTPUT -o lo -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT 

COMMIT

```

 *Quote:*   

> 
> 
> Non riesco ad entrare nei siti ftp, come ad es. ftp://ftp.kernel.org/pub/ 

 

Le tue regole vanno. Probabilmente c'è qualcosa che non va altrove.

ho fatto un nmap al sito ftp.kernel.org. ecco il risultato:

```

root@fermi iptables # nmap ftp.kernel.org

 

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-03-20 15:38 CET

Interesting ports on zeus-pub.kernel.org (204.152.189.116):

(The 1654 ports scanned but not shown below are in state: closed)

PORT    STATE SERVICE

22/tcp  open  ssh

53/tcp  open  domain

79/tcp  open  finger

80/tcp  open  http

873/tcp open  rsync

 

Nmap run completed -- 1 IP address (1 host up) scanned in 5.319 seconds

```

A quanto pare ftp.kernel.org non ha un demone ftp avviato. E' naturale che tu non riesca a connetterti! Trova un altro sito ftp funzionante (ftp.polito.it per esempio).

Ciao

PS.: Prova a fare gli esperimenti con iptables disattivato e vedrai!

----------

## Allanon

 *comio wrote:*   

> 
> 
> ```
> 
> *filter
> ...

 

Ok

La porta 23 è rimasta chiusa fin dalle prime prove con iptables ma hai ragione quindi tolgo la regola e aprirò la porta in uscita visto che non a senso (nell'incertezza avevo chiuso pure quella).

Farò delle prove poi ti faccio sapere.

Grazie per la pazienza e i consigli.

Ciao   :Very Happy: 

----------

## comio

comuqne fammi sapere come va a finire... e cerchiamo di mettere il [RISOLTO] nel topic!  :Smile: 

----------

## Allanon

Per farti un esempio ti posto l'emerge di un pacchetto: 

>>> Downloading ftp://ftp.gtlib.cc.gatech.edu/pub/kde/stable/3.2.1/src/kdeedu-3.2.1.tar.bz2

--19:49:29--  ftp://ftp.gtlib.cc.gatech.edu/pub/kde/stable/3.2.1/src/kdeedu-3.2.1.tar.bz2

           => `/usr/portage/distfiles/kdeedu-3.2.1.tar.bz2'

Resolving ftp.gtlib.cc.gatech.edu... 130.207.108.134

Connecting to ftp.gtlib.cc.gatech.edu[130.207.108.134]:21... connected.

Logging in as anonymous ... Logged in!

==> SYST ... done.    ==> PWD ... done.

==> TYPE I ... done.  ==> CWD /pub/kde/stable/3.2.1/src ... done.

==> PASV ... 

Mi si blocca in questo punto fino a che non imposto ACCEPT come politica di INPUT e OUTPUT   :Evil or Very Mad: 

----------

## comio

ok

qui stai facendo modalità passiva! Dillo prima  :Smile: 

devi abilitare la porta venti in senso inverso:

```

-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT

-A OUTPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

```

Io assumevo che tu volessi fare ftp "attivo". Mentre stai usando quello passivo!

metti il tag risolto  :Wink: 

----------

## Allanon

bash-2.05b# cat /home/enrico/iptables.sample.txt

# Generated by iptables-save v1.2.9 on Sat Mar 20 20:25:49 2004

*nat

:PREROUTING ACCEPT [633:45274]

:POSTROUTING ACCEPT [1147:70335]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed on Sat Mar 20 20:25:49 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 20:25:49 2004

*mangle

:PREROUTING ACCEPT [189684:272161134]

:INPUT ACCEPT [189684:272161134]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [117740:8253735]

:POSTROUTING ACCEPT [117612:8243393]

COMMIT

# Completed on Sat Mar 20 20:25:49 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 20:25:49 2004

*filter

:INPUT DROP [147:10584]

:FORWARD DROP [0:0]

:OUTPUT DROP [29:2040]

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 110 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT 

-A INPUT -i lo -p tcp -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT 

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT 

-A OUTPUT -o lo -p tcp -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

COMMIT

# Completed on Sat Mar 20 20:25:49 2004

bash-2.05b# 

Non funziona   :Rolling Eyes: 

----------

## comio

```

*filter

:INPUT DROP [147:10584]

:FORWARD DROP [0:0]

:OUTPUT DROP [29:2040]

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 110 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT

-A INPUT -i lo -p tcp -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o lo -p tcp -j ACCEPT

COMMIT

# Completed on Sat Mar 20 20:25:49 2004

```

metti quelle due regole, così apri le connessioni nuove in uscita.

come va?

----------

## comio

Dal link che ti ho postato:

 *Quote:*   

> Connection tracking and ftp
> 
> Firstly, you need to load the ip_conntrack_ftp module.
> 
> Assuming you have a single-homed box, a simple ruleset to allow an ftp connection would be:
> ...

 

----------

## Allanon

Ho fatto come hai detto ma niente.

iptables -A INPUT -i eth0 -j ACCEPT

iptables -A OUTPUT -o eth0 -j ACCEPT

Con queste due regole funziona ma non credo sia il caso, perchè se le interpreto bene permettono l'accesso e l'uscita alla mia eth0 da tutte le porte   :Rolling Eyes: 

----------

## comio

Volendo fare una soluzione "commentata"...

```

*filter

:INPUT DROP

:FORWARD DROP

:OUTPUT DROP

```

Usiamo politiche drop per default

```

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 110 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT

-A INPUT -i lo -p tcp -j ACCEPT

-j ACCEPT

```

Permetto le connessioni in ingresso sulle porte non "ben note" ma solo per connessioni iniziate dalla nostra macchina, inoltre apro varie porte well know per i servizi comuni

```

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

-A OUTPUT -o lo -p tcp -j ACCEPT

```

Permetto la creazione di connessioni sulle porte well know e sulle porte >=1024 solo quando sono "relative" ad un'altra connessione 

```

COMMIT

# Completed on Sat Mar 20 20:25:49 2004 

```

e non mi dire che non funziona  :Wink: 

ciao.

PS.: Che sudata...

----------

## Allanon

bash-2.05b# cat /home/enrico/iptables.sample.txt

# Generated by iptables-save v1.2.9 on Sat Mar 20 21:10:43 2004

*nat

:PREROUTING ACCEPT [594:42487]

:POSTROUTING ACCEPT [1044:63987]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed on Sat Mar 20 21:10:43 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 21:10:43 2004

*mangle

:PREROUTING ACCEPT [188555:271384762]

:INPUT ACCEPT [188555:271384762]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [116553:8000385]

:POSTROUTING ACCEPT [116446:7991603]

COMMIT

# Completed on Sat Mar 20 21:10:43 2004

# Generated by iptables-save v1.2.9 on Sat Mar 20 21:10:43 2004

*filter

:INPUT DROP [116:8232]

:FORWARD DROP [0:0]

:OUTPUT DROP [8:480]

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 873 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 110 -j ACCEPT 

-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT 

-A INPUT -i lo -p tcp -j ACCEPT 

-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED 

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 873 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT 

-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT 

-A OUTPUT -o lo -p tcp -j ACCEPT 

-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 

COMMIT

# Completed on Sat Mar 20 21:10:43 2004

bash-2.05b# 

Ho quasi paura a postare   :Smile:   ma non funziona ancora.

----------

## comio

 *Allanon wrote:*   

> bash-2.05b# cat /home/enrico/iptables.sample.txt
> 
> # Generated by iptables-save v1.2.9 on Sat Mar 20 21:10:43 2004
> 
> *nat
> ...

 

manca un -j ACCEPT

Ho notato che mi è saltato nel taglia ed incolla! colpa mia!

scusa

----------

## Allanon

 *comio wrote:*   

>  *Allanon wrote:*   bash-2.05b# cat /home/enrico/iptables.sample.txt
> 
> # Generated by iptables-save v1.2.9 on Sat Mar 20 21:10:43 2004
> 
> *nat
> ...

 

SEI UN MITO   :Very Happy: 

Certo che me ne potevo accorgere anche io del -j ACCEPT mancante  :Razz: 

Non so cosa dire o fare per sdebitarmi, metti in conto una pizza forse prima o poi ci incontriamo   :Razz: 

----------

