La security policy.

Limitandoci ad una politica di sicurezza che riguardi principalmente gli aspetti pratici, possiamo stabilirne una molto semplice di questo tipo:

"Rifiutare tutte le connessioni iniziate dalla rete pubblica verso il firewall e verso la LAN da esso protetta, tranne quelle dirette alla porta 22/tcp per l'amministrazione remota che devono essere autorizzate solo se provenienti dall'indirizzo IP x.x.x.x.Il traffico in uscita dal firewall e dalla LAN protetta è invece permesso, ma solo per i protocolli DNS, SSH, http/HTTPS, TELNET, FTP, SMTP e solo verso alcuni indirizzi predefiniti".

La nostra security policy di firewalling introduce il concetto di "egress filtering", ovvero il filtraggio dei pacchetti in uscita verso Internet. Molti amministratori fanno poca attenzione al traffico che esce dalla loro rete e questo fa si che molte reti vittime di manomissioni si trasformano in un paradiso per i cracker. L'egress filtering è inoltre fondamentale per combattere il fenomeno dei DDoS (Distributed Denial of Service), perché limita di fatto la trasmissione di alcune tipologie di traffico pericoloso (pacchetti spoofati o diretti a porte particolari, e così via).
Ora che abbiamo stabilito una security policy soddisfacente per la rete che deve essere protetta dobbiamo scegliere come essa debba essere implementata dal lato pratico.
E' consigliabile il rispetto del principio generale "un servizio, una macchina" ed evitare di abilitare servizi addizionali sul firewall box (eventuali Application Proxy a parte).
Passiamo ora alla descrizione delle strutture di base del Packet Filter di Linux e alla definizione delle regole vere e proprie per iptables su kernel 2.4.