Curiosità su regole di iptables

[1984viking]

Ciao a tutti....
sono nuovo di questo forum, e per prima cosa colgo l'occasione per farvi i complimenti per l'ottimo supporto che date
a tutti gli utenti debian.
Avrei una curiosità riguardo a delle regole di iptables che ho letto su un manuale:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
A prima vista mi sono sembrate delle buone regole "ovviamente per le mie conoscenze" nel impostare il drop sulle catene di input e forward, l'accept sull'output e caricare il modulo state per effettuare il tracciamento delle connessioni..
L'unica cosa è che applicando tali regole mi trovavo con il wm completamente bloccato.....
Ho risolto il problema aggiungendo la regola:
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
pensando che le regole precedenti non mi permettessero le connessioni locali...
Secondo il vostro parere, queste regole, sono sufficientemente buone per un utilizzo desktop?Oppure nel caso non lo fossero, come potrei modificarle?
Colgo l'occasione per postarvi degli script da me fatti per gestire alcuni parametri della rete...spero che vi possano essere d'aiuto:

1)firewall
#!/bin/bash
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2)netcustom(richiede zenity)
#!/bin/bash
#script per la gestione temporanea dei parametri principali di rete
opt=""
tmb=""
iht=""
ilt=""
it=""
ROOT_UID=0
E_NONROOT=67
if [[ "$UID" -ne "$ROOT_UID" ]];then
zenity --error --text="You should be root to execute this script"
exit $E_NONROOT
fi
function tcp_max_backlog(){
tmb=$(zenity --entry --text="Set new value for the TcpMaxBacklog (default=1024)")
echo ${tmb} > /proc/sys/net/ipv4/tcp_max_syn_backlog
return
}
function ipfrag_high_thresh(){
iht=$(zenity --entry --text="Set new value for the IpfragHighThreshold (default=262144)")
echo ${iht} > /proc/sys/net/ipv4/ipfrag_high_thresh
return
}
function ipfrag_low_thresh(){
ilt=$(zenity --entry --text="Set new value for the IpfragLowThreshold (default=196608)")
echo ${ilt} > /proc/sys/net/ipv4/ipfrag_low_thresh
return
}
function ipfrag_time(){
it=$(zenity --entry --text="Set new value for the IpfragTime (default=30)")
echo ${it} > /proc/sys/net/ipv4/ipfrag_time
return
}
function rp_filter(){
for a in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $a
    done
return
}
function get_options(){
opt=$(zenity --width=400 --height=600 --list --checklist --separator="" --text="Opzioni" --column=Scelta --column=Opzioni --column=Lettera_Operazione 0 enable_icmp_echo_ignore_all a 1 disable_icmp_echo_ignore_broadcasts b 2 enable_icmp_errors_use_inbound_ifaddr c 3 disable_icmp_ignore_bogus_error_responses d 4 enable_ip_forward e 5 enable_tcp_ecn f 6 enable_tcp_syncookies g 7 change_tcp_max_syn_backlog h 8 change_ipfrag_high_thresh i 9 change_ipfrag_low_thresh l 10 change_ipfrag_time m 11 disable_accept_redirects n 12 enable_accept_source_route o 13 enable_log_martians p 14 enable_mc_forwarding q 15 enable_rp_filter r 16 disable_secure_redirects s 17 disable_send_redirects t 18 enable_iptables_firewall u --hide-column=3 --print-column=3)
return
}
get_options

if [[ $(echo $opt | grep "a") ]];then echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ; fi
if [[ $(echo $opt | grep "b") ]];then echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ; fi
if [[ $(echo $opt | grep "c") ]];then echo 1 > /proc/sys/net/ipv4/icmp_errors_use_inbound_ifaddr ; fi
if [[ $(echo $opt | grep "d") ]];then echo 0 > /proc/sys/net/ipv4icmp_ignore_bogus_error_responses ; fi
if [[ $(echo $opt | grep "e") ]];then echo 1 > /proc/sys/net/ipv4/ip_forward ; fi
if [[ $(echo $opt | grep "f") ]];then echo 1 > /proc/sys/net/ipv4/tcp_ecn ; fi
if [[ $(echo $opt | grep "g") ]];then echo 1 > /proc/sys/net/ipv4/tcp_syncookies ; fi
if [[ $(echo $opt | grep "h") ]];then tcp_max_backlog ; fi
if [[ $(echo $opt | grep "i") ]];then ipfrag_high_thresh ; fi
if [[ $(echo $opt | grep "l") ]];then ipfrag_low_thresh ; fi
if [[ $(echo $opt | grep "m") ]];then ipfrag_time ; fi
if [[ $(echo $opt | grep "n") ]];then echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects ; fi
if [[ $(echo $opt | grep "o") ]];then echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route ; fi
if [[ $(echo $opt | grep "p") ]];then echo 1 > /proc/sys/net/ipv4/conf/all/log_martians ; fi
if [[ $(echo $opt | grep "q") ]];then echo 1 > /proc/sys/net/ipv4/conf/all/mc_forwarding ; fi
if [[ $(echo $opt | grep "r") ]];then rp_filter ; fi
if [[ $(echo $opt | grep "s") ]];then echo 0 > /proc/sys/net/ipv4/conf/all/secure_redirects ; fi
if [[ $(echo $opt | grep "t") ]];then echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects ; fi
if [[ $(echo $opt | grep "u") ]];then firewall ; fi


Ciao a tutti e grazie in anticipo

[tindal]

ciao, benvenuto e grazie dei complimenti

con le regole del primo script il tuo firewall è completamente chiuso, e per un uso standard va benissimo

se poi vorrai usare amule o ssh dovrai aprire qualche porta, ma finchè non hai di queste esigenze va benissimo così

il secondo script invece è un po' sul paranoico: se hai, come quasi tutti, un ip dinamico, nessuno mai si prenderà la briga di attaccarti in qualcuno di quei modi



ciao
tindal

[1984viking]

ciao, benvenuto e grazie dei complimenti

con le regole del primo script il tuo firewall è completamente chiuso, e per un uso standard va benissimo

se poi vorrai usare amule o ssh dovrai aprire qualche porta, ma finchè non hai di queste esigenze va benissimo così

il secondo script invece è un po' sul paranoico: se hai, come quasi tutti, un ip dinamico, nessuno mai si prenderà la briga di attaccarti in qualcuno di quei modi



ciao
tindal

Ciao.......
grazie mille per la risposta.....ancora complimenti....
Ciao :-)