# Generated by Progetto Marconi    FANTomAs 30/1/2004
# modificare 999.999.999.999/255.255.255.nnn con il numero della propria lan
# pubblica (quella fornita dal provider) dove 999 e' il numero della 
# lan e nnn e' il numero di rete
# modificare sostituendo a 192.168.165.0 il numero della propria LAN interna
# 
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# attiva il mascheramento della rete locale interna
[0:0] -A POSTROUTING -s 192.168.165.0/255.255.255.0 -j MASQUERADE 
#   nel caso si utilizzino LAN diverse (es per segreteria e alunni) occorre
#   aggiungere una riga per ciascuna di esse es:
#[0:0] -A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE 
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#	tutto puo' uscire 
[0:0] -A INPUT -s 192.168.165.0/255.255.255.0 -j ACCEPT 
# caso in cui si disponga di una seconda scheda di rete
#[0:0] -A INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT 
#	LAN privata: TCP puo' entrare se la connessione e' gia' stabilita
[0:0] -A INPUT -d 192.168.165.0/255.255.255.0 -p tcp -m state --state ESTABLISHED -j ACCEPT 
# caso in cui si disponga di una seconda scheda di rete
#[0:0] -A INPUT -d 192.168.100.0/255.255.255.0 -p tcp -m state --state ESTABLISHED -j ACCEPT 
#	LAN pubblica: TCP puo' entrare se la connessione e' gia' stabilita
[0:0] -A INPUT -d 999.999.999.999/255.255.255.nnn -p tcp -m state --state ESTABLISHED -j ACCEPT 
#	ICMP tutto permesso
[0:0] -A INPUT -p icmp -j ACCEPT 
#	INPUT permette FTP,SSH
[0:0] -A INPUT -p tcp -m tcp --dport 20:22 -j ACCEPT 
#	permette FTP passivo su connessioni gia' stabilite (occorre attivare i
#	moduli ip_conntrack_ftp e ip_nat_ftp)
[0:0] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 1025:65535 --dport 1025:65535 -j ACCEPT 
#	INPUT permette SMTP
[0:0] -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
#	INPUT permette DOMAIN
[0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
[0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT 
#[0:0] -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT 
#[0:0] -A INPUT -p udp -m udp --sport 53 -j ACCEPT 
#	INPUT permette DHCP
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 67:68 -j ACCEPT 
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 67:68 -j ACCEPT 
#	INPUT permette WWW	
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
#	INPUT permette UUCP
[0:0] -A INPUT -p tcp -m tcp --dport 540 -j ACCEPT 
#	INPUT permette POP3
[0:0] -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
#	INPUT permette IMAP
[0:0] -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
#	INPUT permette AUTH
[0:0] -A INPUT -p tcp -m tcp --dport 113 -j ACCEPT 
# 
#	INPUT permette SMB da rete pubblica
#[0:0] -A INPUT -s 999.999.999.999/255.255.255.nnn -p tcp -m tcp --dport 137:139 -j ACCEPT 
#	INPUT permette tutto su lo
[0:0] -A INPUT -i lo -j ACCEPT 
#	INPUT "Logga" tutto cio' che non e' stato accettato
[0:0] -A INPUT -j LOG --log-prefix "packet-filter " --log-level 6 --log-tcp-options --log-ip-options 
#	INPUT Rifiuta con messaggio ICMP
[0:0] -A INPUT -j REJECT --reject-with icmp-port-unreachable 
#	FORWARD accetta tutto ICMP
[0:0] -A FORWARD -p icmp -j ACCEPT 
#	FORWARD avanza cio' che proviene dalla LAN privata
[0:0] -A FORWARD -s 192.168.165.0/255.255.255.0 -j ACCEPT 
# caso in cui si disponga di una seconda scheda di rete
#[0:0] -A FORWARD -s 192.168.100.0/255.255.255.0 -j ACCEPT 
#	FORWARD avanza verso la LAN se connessione gia' stabilita
[0:0] -A FORWARD -d 192.168.165.0/255.255.255.0 -p tcp -m state --state ESTABLISHED -j ACCEPT 
# caso in cui si disponga di una seconda scheda di rete
#[0:0] -A FORWARD -d 192.168.100.0/255.255.255.0 -p tcp -m state --state ESTABLISHED -j ACCEPT 
#	FORWARD "logga" tutto cio' che non e' stato accettato
[0:0] -A FORWARD -j LOG --log-prefix "packet-filter " --log-level 6 --log-tcp-options --log-ip-options 
#	FORWARD Rifiuta con messaggio ICMP
[0:0] -A FORWARD -j REJECT --reject-with icmp-port-unreachable 
COMMIT