Tenere gli aggressori lontani da una LAN, rappresenta un aspetto importante della sicurezza della rete, se non il più importante. L'integrità di una LAN dovrebbe essere protetta dagli utenti maliziosi remoti, usando delle regole rigorose del firewall. Tuttavia con una policy di default impostata in modo da bloccare tutti i pacchetti in entrata, in uscita e inoltrati, risulta impossibile per il firewall/gateway e per gli utenti interni della LAN, comunicare con se stessi o esternamente. Per permettere agli utenti di eseguire le funzioni relative alla rete e usare le applicazioni per il networking, gli amministratori devono aprire determinate porte per la comunicazione.
Per esempio, per permettere l'accesso alla porta 80 sul firewall, aggiungere la seguente regola:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Questo permette il regolare browsing del web dai siti web che comunicano tramite la porta 80. Per abilitare l'accesso ai siti web sicuri (come ad esempio https://www.example.com/), dovete anche aprire la porta 443.
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
Potrebbe verificarsi il bisogno di richiedere un accesso remoto alla LAN dall'esterno. I servizi sicuri come ad esempio SSH e CIPE, possono essere usati per il collegamento remoto cifrato per i servizi LAN. Per gli amministratori con risorse basate su PPP (come le banche modem o gli account ISP), l'accesso dialup può essere usato per aggirare in modo sicuro le barriere del firewall, in quanto i collegamenti del modem si trovano generalmente dietro un firewall/gateway, perchè essi sono dei collegamenti diretti. Tuttavia, per utenti remoti con collegamenti di tipo broadband, si possono considerare casi particolari. Potete configurare IPTables in modo da accettare i collegamenti da SSH remoti e client CIPE. Per esempio, per permettere un accesso SSH remoto, bisogna usare le seguenti regole:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
Le richieste al collegamento CIPE dall'esterno, possono essere accettate con il seguente comando (sostituire x con il numero del vostro dispositivo):
iptables -A INPUT -p udp -i cipcbx -j ACCEPT iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT |
A causa dell'uso da parte di CIPE del proprio dispositivo virtuale, il quale trasmette i pacchetti datagram (UDP), la regola abilita all'interfaccia cipcb i collegamenti in entrata, invece delle porte di destinazione o sorgente (esse possono essere usate al posto delle opzioni del dispositivo). Per informazioni sull'uso di CIPE, consultare Capitolo 6.
Ci sono altri servizi per i quali c'è bisogno di definire le regole. Consultare Red Hat Enterprise Linux Reference Guide per una informazione completa su IPTables e sulle sue opzioni.
Queste regole permettono l'accesso a servizi regolari e sicuri sul firewall; tuttavia, non permettono ai nodi dietro il firewall, di accedere a questi servizi. Per permettere un accesso LAN a questi servizi, potete usare NAT insieme alle regole di filtraggio IPTables.