NoeX
5th August 2009, 15:18
Ciao, ho quasi ultimato il mio progetto in Java e sto appunto configurando la macchina linux che contiene l'applicativo client.
Il client sostanzialmente fà questo:
apre una VPN con Open Vpn -> manda i dati -> chiude la VPN -> dorme fino al giorno dopo che Cron esegue il mio script
Allora, dato che questa macchina stà a un ora di viaggio da casa mia \ società, ed essendo che siamo in fase di testing pensavamo di farci aprire la porta ssh in caso si dovesse aggiornare il software o altri errori (il mio capo dice che ssh ha qualche bug, ne siete a conoscenza anche voi ? mm )
Per limitare il rischio di bimbiminchia, pensavo di bloccare tutte le richieste dall'esterno a questo pc, compresi ping e port scanner vari.
edit:
e addirittura pensavo di bloccare tutte le connessioni della rete locale, salvo la porta 1521 (Oracle)
Ora, io ho creato Hosts.deny e Hosts.allow e mi bloccano tutto, salvo ssh da un certo IP, ma non è sufficiente, in quanto a ping e port scanner risponde ancora...
In linux c'è IpTables, a sto punto non è meglio buttare tutto dentro a IpTables e bona, lasciando perdere Hosts* ?
IpTables che è già integrato nel kernel è la soluzione migliore che fà al caso mio? O c'è qualcosa di meglio che mi è sfuggito ?
Il client sostanzialmente fà questo:
apre una VPN con Open Vpn -> manda i dati -> chiude la VPN -> dorme fino al giorno dopo che Cron esegue il mio script
Allora, dato che questa macchina stà a un ora di viaggio da casa mia \ società, ed essendo che siamo in fase di testing pensavamo di farci aprire la porta ssh in caso si dovesse aggiornare il software o altri errori (il mio capo dice che ssh ha qualche bug, ne siete a conoscenza anche voi ? mm )
Per limitare il rischio di bimbiminchia, pensavo di bloccare tutte le richieste dall'esterno a questo pc, compresi ping e port scanner vari.
edit:
e addirittura pensavo di bloccare tutte le connessioni della rete locale, salvo la porta 1521 (Oracle)
Ora, io ho creato Hosts.deny e Hosts.allow e mi bloccano tutto, salvo ssh da un certo IP, ma non è sufficiente, in quanto a ping e port scanner risponde ancora...
In linux c'è IpTables, a sto punto non è meglio buttare tutto dentro a IpTables e bona, lasciando perdere Hosts* ?
IpTables che è già integrato nel kernel è la soluzione migliore che fà al caso mio? O c'è qualcosa di meglio che mi è sfuggito ?
