installazione bridge + firewall

Ho una redhat 7.3 con kernel 2.4.x volevo sapere se potevate aiutarmi passo per passo (in quanto sono abbastanza ignorante in maniera) per installare un bridge tra due schede (eth0 eth1) e per installare un firewall che mi filtra i pacchetti provenienti da eth0 (internet) da spedire in eth1.
Ho provato a cercare sugli howto, ma non capisco quali sono le applicazioni linux da usare e quindi sono abbastanza fermo.

[pietrovischia]

firewall: Articolo su Topolinux
e mia correzione sostanziale di una imprecisione del tutorial

in particolare, con una riga di ip masquerading tipo

Codice:

iptables -t nat -A POSTROUTING -s $NET_ADDR -o $EXT_INT -j MASQUERADE

fai da software il forwarding che dici tu (testato nella mia lan, funziona)
$NET_ADDR è l'IP della tua eth0, mentre EXT_INT è in nome "eth1"

A sto punto direi che il bridge non tiserve, a meno che tu non intenda proprio quello che ti ho appena scritto che si fa direttamente col firewall

Ho trovato anche una distribuzione che si chiama ipcop (meno di 50 mega) che mi fa da firewall e da la possibilità di modificarne le opzioni via web (come per i router per intenderci). Non male...
Quali sono le principali porte da bloccare nei firewall...
Dite che posso bloccare tutto tranne la porta 80 (http)e la 21 (mail)? Altre cose non devo farle.

Ma la 21 non è FTP (comunque utile)?
La mail dovrebbe essere 25 in invio (SMTP) e 110 in ricezione (POP3).
Se poi devi anche accedere al pannello di AV deve essere aperta anche la 443 e la 8080.

[pietrovischia]

Apri la 22 (ssh)

E devi aprire alle connessioni che escono verso la 53 e che entrano da una 53. Se no DNS te lo scordi

seconda cosa, ci sono range di indirizzi ip "strani" da bloccare?

[pietrovischia]

Boh, se blocchi le porte dovresti essere a posto.

Piuttosto, usa righe del genere:

Codice:

# blocco ping verso la macchina (DOS attack)
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# io ce l'ho disabilitato nel kernel, quindi lascio commentata la riga sotto
# echo '1' > /proc/sys/net/ipv4/tcp_syncookies

#---------------------------------------------------------------
# Disable routing triangulation. Respond to queries out
# the same interface, not another. Helps to maintain state
# Also protects against IP spoofing
#---------------------------------------------------------------
echo '1' > /proc/sys/net/ipv4/conf/all/rp_filter

# loggo i pacchetti malformati
echo '1' > /proc/sys/net/ipv4/conf/all/log_martians

echo '0' > /proc/sys/net/ipv4/conf/all/accept_source_route
echo '0' > /proc/sys/net/ipv4/conf/all/accept_redirects
echo '0' > /proc/sys/net/ipv4/conf/all/send_redirects