firewall

Protezione Syn-flood:

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Protezione port scanning:

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Protezione ping of death:

Tags:

Per lasciar passare le connessioni ssh, pf dovrebbe avere una regola simile a questa:

pass in quick on $external inet proto tcp from any to any port ssh flags S/SA keep state

per bloccare i bruteforce è sufficiente modificarla in:

Da analisi compiute (trovate in internet), skype cerca di contattare i super-nodi con una connessione udp su porta 1247; il resto della comunicazione avviene su TCP, il range di porte usato è 2940-3000. Se questo fallisce, skype cercherà di connettersi alla porta 443 (https) dei super-nodi (i cui ip variano), tramite le impostazioni proxy del sistema.

Questo appunto ho lo scopo di spiegare in breve il processo di configurazione per il nuovo ftp-proxy incluso dalla release 3.9 di OpenBSD.
L'uso del proxy-ftp puo' essere evitato se il demone (vsftpd, ftpzilla-server) che andiamo a pubblicare permette di impostare l'ip di risposta passiva.

Ipotizziamo che le nostre due connessioni ad internet siano WAN e OPT1, già opportunamente configurate.
Ora dobbiamo configurare il NAT, ed abilitare il nat in uscita avanzato (advanced outbound NAT);
andiamo alla scheda Nat -> Outbount ed attiviamo il checkbox "Enable advanced outbound NAT".
Tags:
table <firewall> const { self }