PDA

View Full Version : A scuola di firewall :)


Jarsil
19-02-2002, 13:03
Questo è uno scriptino che ho provato a realizzare dato che devo finire il prima possibile un firewall per un cliente che ha problemi con quello standard che realizzo tutte le volte...

Chi non sa bene come si fa un firewall, da qui può avere spunto. Chi lo sa, magari può correggere...


#!/bin/sh
#script per avvio del firewalling
#versione semplificata per reti su router ISDN

#SSF 2002

IPBIN="/sbin/ipchains"

#flush all
$IPBIN -F
$IPBIN -X
$IPBIN -F

#blocca tutto prima di cominciare
$IPBIN -A input -i ! eth0 -d 192.168.0.0/16 -j DENY
$IPBIN -A output -i eth2 -d 192.168.0.0/16 -j DENY
$IPBIN -A forward -i eth2 -d 192.168.0.0/16 -j DENY

#policy di default
$IPBIN -P input ACCEPT
$IPBIN -P forward ACCEPT
$IPBIN -P output ACCEPT

# Se non viene dalla LAN, non passa, a meno che non sia ping o ssh
# Blocchiamo tutto, con Reject, poi alcuni DENY
# Catena di Input
# Rigetta in generale cio' che viene da fuori senza scopi precisi
$IPBIN -A input -s ! 192.168.1.0/24 -d 192.168.1.0/24 -j REJECT

# Blocca l'accesso alle porte tradizionalmente insicure
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport ftp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport ftp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport telnet -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport telnet -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport www -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport www -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport nntp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport nntp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport pop3 -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport pop3 -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport smtp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport smtp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport finger -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport finger -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport gopher -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport gopher -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport dns -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport dns -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport whois -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport whois -j DENY

# Consente l'arrivo dei pacchetti dal router al firewall
# ma anche qui blocco i pacchetti ftp, http e telnet. per sicurezza.
$IPBIN -A input -s 192.168.0.0/24 -j ACCEPT
$IPBIN -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.2 21 -j REJECT
$IPBIN -A input -p udp -s 192.168.0.0/24 -d 192.168.0.2 21-j REJECT
$IPBIN -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.2 23 -j REJECT
$IPBIN -A input -p udp -s 192.168.0.0/24 -d 192.168.0.2 23 -j REJECT
$IPBIN -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.2 80 -j REJECT
$IPBIN -A input -p udp -s 192.168.0.0/24 -d 192.168.0.2 80 -j REJECT

# Consento a tutti l'accesso via SSH e ai ping-pong
$IPBIN -A input -p tcp -d 192.168.1.1 --dport ssh -j ACCEPT
$IPBIN -A input -p udp -d 192.168.1.1 --dport ssh -j ACCEPT
$IPBIN -A input -p icmp -d 192.168.1.1 -j ACCEPT

# Catena di Output: Per il momento esce tutto, i client
# non hanno limitazioni inutili.
$IPBIN -A output -s 192.168.1.0/24 -d 0/0 -j ACCEPT

# Catena di Forward: Masquerading dei clients...
$IPBIN -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ



Waynuccio... tu che sei un guru... mi dici dove sono i 23874928749874 buchi che ho sicuramente lasciato aperti in questo firewall? funziona troppo bene per non aver qualche puttanata evidente per tutti tranne che per me....

Wayne
20-02-2002, 11:46
Lo script e' a posto.

Come ti ho detto ieri sera al telefono, puoi eventualmente "raffinarlo" senza metterti a fare troppi ca//i con questa roba

# Blocca l'accesso alle porte tradizionalmente insicure
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport ftp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport ftp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport telnet -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport telnet -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport www -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport www -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport nntp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport nntp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport pop3 -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport pop3 -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport smtp -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport smtp -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport finger -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport finger -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport gopher -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport gopher -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport dns -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport dns -j DENY
$IPBIN -A input -p tcp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport whois -j DENY
$IPBIN -A input -p udp -s ! 192.168.1.0/24 -d 192.168.1.1 --dport whois -j DENY

Ma semplicemente chiudendo TUTTO e tenendo aperto solo quello che serve...in ogni modo mi pare funzionale anche questo.

Fai una prova usando, dalle macchine client, il client di nmap (http://www.insecure.org) con il comando

nmap -sT <ip-della-macchina-firewallata>
nmap -sU <ip-della-macchina-firewallata>

Il primo comando fa uno scan completo delle porte TCP aperte, il secondo delle porte UDP (il secondo potrebbe non andare a buon fine, o metterci veramente tanto...ma se la macchina e' installata bene, e' poco probante).

Ripeti questo scan magari anche per una macchina DENTRO la rete firewallata, e vedi come va :D

Ciapz

Jarsil
20-02-2002, 13:23
Purtroppo ho riscontrato sempre il problema che ti dicevo, ossia che non posso stabilire le regole iniziale con un DENY totale prima di iniziare le altre...

SE piazzo quei Deny, salta tutto, a meno che non specifico le interfacce. Boh...

Cmq, ho rimodificato il file e ora è un po' più complesso, perché ho inserito una serie di variabili e soprattutto mi sono reso conto di due cose, ossia che se non chiudo quella roba rimane aperta (purtroppo NON posso modificare /etc/services né /etc/inetd.conf, quindi sono obbligato a intervenire via firewall), e che la macchina ha 2 IP da filtrare quindi per il momento ho dovuto raddoppiare le catene sui due indirizzi.

Questo è lo script modificato... OCIO che è LUNGO :)


#!/bin/sh
#script per avvio del firewalling
#versione semplificata per reti su router ISDN

#SSF 2002

# Definizione di alcune variabili "comode"

IPBIN="/sbin/ipchains" # Comando IPchains
LAN="192.168.1.0/24" # Parametri Rete Locale
DMZ="192.168.0.0/24" # Parametri sottorete del Router
ALL="192.168.0.0/16" # Network (LAN+Router)
IPLAN="192.168.1.1" # Indirizzo verso la lan
IPDMZ="192.168.0.2" # Indirizzo verso il router

#flush all
$IPBIN -F
$IPBIN -X
$IPBIN -F

#blocca tutto prima di cominciare
$IPBIN -A input -i ! eth0 -d $ALL -j DENY
$IPBIN -A output -i ! eth0 -d $ALL -j DENY
$IPBIN -A forward -d $ALL -j DENY

#policy di default
$IPBIN -P input ACCEPT
$IPBIN -P forward ACCEPT
$IPBIN -P output ACCEPT

# Catena di Input
# Rigetta in generale cio' che viene da fuori senza scopi precisi
# Riapro prima l'input con sorgente LAN
$IPBIN -A input -s $LAN -j ACCEPT
$IPBIN -A input -s ! $LAN -d $LAN -j DENY

# Blocca l'accesso alle porte tradizionalmente insicure
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport ftp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport ftp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport telnet -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport telnet -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport www -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport www -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport nntp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport nntp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport pop3 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport pop3 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport smtp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport smtp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport finger -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport finger -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport gopher -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport gopher -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport dns -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport dns -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport 3128 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport 3128 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport 8080 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport 8080 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPLAN --dport 139 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPLAN --dport 139 -j DENY

# Consente l'arrivo dei pacchetti dal router al firewall
# ma anche qui blocco i pacchetti per sicurezza.
# Regola Ridondante ma non fa mai male essere tranquilli...

$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport ftp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport ftp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport telnet -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport telnet -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport www -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport www -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport nntp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport nntp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport pop3 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport pop3 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport smtp -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport smtp -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport finger -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport finger -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport gopher -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport gopher -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport dns -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport dns -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport 3128 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport 3128 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport 8080 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport 8080 -j DENY
$IPBIN -A input -p tcp -s ! $LAN -d $IPDMZ --dport 139 -j DENY
$IPBIN -A input -p udp -s ! $LAN -d $IPDMZ --dport 139 -j DENY

# Consento a tutti l'accesso via SSH
$IPBIN -A input -p tcp -d $IPLAN --dport ssh -j ACCEPT
$IPBIN -A input -p udp -d $IPLAN --dport ssh -j ACCEPT

$IPBIN -A input -p tcp -d $IPDMZ --dport ssh -j ACCEPT
$IPBIN -A input -p udp -d $IPDMZ --dport ssh -j ACCEPT

# Ping, Pong e ICMP in generale...
$IPBIN -A input -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPBIN -A input -p icmp --icmp-type source-quench -j ACCEPT
$IPBIN -A input -p icmp --icmp-type time-exceeded -j ACCEPT
$IPBIN -A input -p icmp --icmp-type parameter-problem -j ACCEPT
$IPBIN -A input -p icmp --icmp-type ping -j ACCEPT
$IPBIN -A input -p icmp --icmp-type pong -j ACCEPT

# Catena di Output: Per il momento esce tutto, i client
# non hanno limitazioni inutili.
$IPBIN -A output -s $LAN -j ACCEPT

#Ping e pong, icmp...
$IPBIN -A output -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPBIN -A output -p icmp --icmp-type source-quench -j ACCEPT
$IPBIN -A output -p icmp --icmp-type time-exceeded -j ACCEPT
$IPBIN -A output -p icmp --icmp-type parameter-problem -j ACCEPT
$IPBIN -A output -p icmp --icmp-type ping -j ACCEPT
$IPBIN -A output -p icmp --icmp-type pong -j ACCEPT

# Catena di Forward: Masquerading dei clients...
$IPBIN -A forward -s $LAN -j MASQ

#Ping, Pong e icmp
$IPBIN -A forward -p icmp --icmp-type destination-unreachable -j MASQ
$IPBIN -A forward -p icmp --icmp-type source-quench -j MASQ
$IPBIN -A forward -p icmp --icmp-type time-exceeded -j MASQ
$IPBIN -A forward -p icmp --icmp-type parameter-problem -j MASQ
$IPBIN -A forward -p icmp --icmp-type ping -j MASQ
$IPBIN -A forward -p icmp --icmp-type pong -j MASQ


Ho testato il tutto con nmap e poi anche con ShieldsUP! (https://grc.com/x/ne.dll?bh0bkyd2), il sito che fa una prova di scanning delle porte e dei servizi tipo netbios per mostrare bachi di sicurezza.

Wayne
20-02-2002, 14:42
Se hai testato tutto, e va...

...direi che ci siamo :D

Jarsil
20-02-2002, 18:36
Sono instancabile... sono riuscito a capire dove stava il problema... ecco qui lo script che risulta ora:


#!/bin/sh
#script per avvio del firewalling
#versione semplificata per reti su router ISDN

#SSF 2002

# Definizione di alcune variabili "comode"

IPBIN="/sbin/ipchains" # Comando IPchains
LAN="192.168.1.0/24" # Parametri Rete Locale
DMZ="192.168.0.0/24" # Parametri sottorete del Router
ALL="192.168.0.0/16" # Network (LAN+Router)
IPLAN="192.168.1.0" # Indirizzo verso la lan
IPDMZ="192.168.0.2" # Indirizzo verso il router

# Puliamo tutto prima di iniziare...
$IPBIN -F
$IPBIN -X
$IPBIN -F

#blocca tutto prima di cominciare
$IPBIN -A input -i ! lo -j DENY
$IPBIN -A output -i ! lo -j DENY
$IPBIN -A forward -j DENY

#policy di default
$IPBIN -P input ACCEPT
$IPBIN -P forward ACCEPT
$IPBIN -P output ACCEPT

# Catena di Input
# Consente l'accesso alle porte in maniera organica...
# Consento a tutti l'accesso via SSH
# Questi Accept sono sulle porte di destinazione dei pc remoti,
# e NON DI QUESTO FIREWALL.

$IPBIN -A input -p tcp --sport www -j ACCEPT
$IPBIN -A input -p tcp --sport 443 -j ACCEPT
$IPBIN -A input -p tcp --sport ssl -j ACCEPT
$IPBIN -A input -p tcp --sport ftp -j ACCEPT
$IPBIN -A input -p tcp --sport ntp -j ACCEPT
$IPBIN -A input -p tcp --sport gopher -j ACCEPT
$IPBIN -A input -p tcp --sport dns -j ACCEPT
$IPBIN -A input -p tcp --sport 23 -j ACCEPT
$IPBIN -A input -p tcp --dport ssh -l -j ACCEPT
$IPBIN -A input -p udp --sport www -j ACCEPT
$IPBIN -A input -p udp --sport 443 -j ACCEPT
$IPBIN -A input -p udp --sport ssl -j ACCEPT
$IPBIN -A input -p udp --sport ftp -j ACCEPT
$IPBIN -A input -p udp --sport dns -j ACCEPT
$IPBIN -A input -p udp --sport ntp -j ACCEPT
$IPBIN -A input -p udp --sport gopher -j ACCEPT
$IPBIN -A input -p udp --sport 23 -j ACCEPT
$IPBIN -A input -p udp --dport ssh -j ACCEPT
$IPBIN -A input -p tcp --sport ssh -j ACCEPT
$IPBIN -A input -p udp --sport ssh -j ACCEPT

# Porte Masquerading, se le blocchi non passi...
$IPBIN -A input -p tcp --dport 61000:65095 -j ACCEPT

# Ping, Pong e ICMP in generale...
$IPBIN -A input -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPBIN -A input -p icmp --icmp-type source-quench -j ACCEPT
$IPBIN -A input -p icmp --icmp-type time-exceeded -j ACCEPT
$IPBIN -A input -p icmp --icmp-type parameter-problem -j ACCEPT
$IPBIN -A input -p icmp --icmp-type ping -j ACCEPT
$IPBIN -A input -p icmp --icmp-type pong -j ACCEPT

# Qualche regola speciale per i clients LAN
# Consente loro di navigare liberamente.
$IPBIN -A input -p tcp --dport 8080 -j ACCEPT
$IPBIN -A input -p udp --dport 8080 -j ACCEPT
$IPBIN -A input -p tcp --dport 3128 -j ACCEPT
$IPBIN -A input -p udp --dport 3128 -j ACCEPT
$IPBIN -A input -p tcp -s $LAN --dport 25 -j ACCEPT
$IPBIN -A input -p tcp -s $LAN --dport 110 -j ACCEPT
$IPBIN -A input -p tcp -s $LAN --dport 119 -j ACCEPT
$IPBIN -A input -p tcp --dport 1081 -l -j ACCEPT
$IPBIN -A input -p udp --dport 1081 -l -j ACCEPT

#Dalla Loopback ovviamente passa tutto...
$IPBIN -A input -i lo -j ACCEPT

# Il resto NON DEVE PASSARE. Blocco TUTTO.
$IPBIN -A input -l -j DENY

# Catena di Output: Per il momento esce tutto, i client
# non hanno limitazioni inutili.
$IPBIN -A output -s $LAN -l -j ACCEPT

#Ping e pong, icmp...
$IPBIN -A output -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPBIN -A output -p icmp --icmp-type source-quench -j ACCEPT
$IPBIN -A output -p icmp --icmp-type time-exceeded -j ACCEPT
$IPBIN -A output -p icmp --icmp-type parameter-problem -j ACCEPT
$IPBIN -A output -p icmp --icmp-type ping -j ACCEPT
$IPBIN -A output -p icmp --icmp-type pong -j ACCEPT

# Ma tutto cio' che si cerca di far uscire
# e che non proviene dai Client... NO WAY!!!
$IPBIN -A output -s $LAN -l -j REJECT

# Catena di Forward: Masquerading dei clients...
$IPBIN -A forward -s $LAN -d $LAN -j ACCEPT
$IPBIN -A forward -s $LAN -d ! $LAN -j MASQ
#Ping, Pong e icmp
$IPBIN -A forward -p icmp --icmp-type destination-unreachable -j MASQ
$IPBIN -A forward -p icmp --icmp-type source-quench -j MASQ
$IPBIN -A forward -p icmp --icmp-type time-exceeded -j MASQ
$IPBIN -A forward -p icmp --icmp-type parameter-problem -j MASQ
$IPBIN -A forward -p icmp --icmp-type ping -j MASQ
$IPBIN -A forward -p icmp --icmp-type pong -j MASQ

# Blocca tutto quello che rimane e che non DEVE
# Ottenere il mascheramento dell'IP.
$IPBIN -A forward -s $LAN -l -j DENY

# E per finire il lavoro, tolgo i blocchi iniziali. Ora si lavora.
$IPBIN -D input 1
$IPBIN -D output 1
$IPBIN -D forward 1


ShieldsUP! dice che ho tutte le porte Stealthate. Perfetto...