IPTables

Richieste di nuove guide, traduzioni, offerte di collaborazione e comunicazioni da parte del gruppo agli utenti.

Moderatore: Gruppo Documentazione

Avatar utente
giulux
Amministratore
Amministratore
Messaggi: 25422
Iscrizione: domenica 10 gennaio 2010, 12:17
Desktop: ubuntu 18.04
Distribuzione: Ubuntu 18.04.3 LTS x86_64
Sesso: Maschile
Località: Roma

Re: ho fatto lo script

Messaggio da giulux »

Prendi contatto col Gruppo Documentazione
Anzi, sposto lì il topic
ciao
"Non è una segno di buona salute l'essere ben adattato ad una società malata". (Jiddu Krishnarmurti)
cvapem2
Prode Principiante
Messaggi: 19
Iscrizione: lunedì 27 agosto 2012, 21:46

Come impostare le regole del firewall iptables

Messaggio da cvapem2 »

Io intanto la scrivo. Se è utile usatela, altrimenti potete cancellarla, se ci sono errori (forse ci sono) correggeteli e se manca qualcosa aggiungetela. Grazie. :D


Come impostare le regole del firewall iptables affinchè partano automaticamente allo start di Ubuntu.



Se avete bisogno di un firewall e volete impostare da soli le regole per la sua gestione questa guida potrebbe esservi utile.

Ubuntu ha un firewall preimpostato che si chiama iptables.
Questo firewall in modo predefinito fa tre cose, fa entrare tutte le connessioni, fa uscire tutte le connessioni e fa attraversare il vostro PC da tutte le connessioni anche quelle che non sono indirizzate a voi.
Se volete saperne di più su questo strumento e su come usarlo potete leggere qui e qui.

Delle semplici regole potrebbero essere scritte per impedire che ci possano essere delle comunicazioni in entrata nel vostro PC (soprattutto per chi lo usa come server) per impedire che delle comunicazioni attraversino il vostro PC e per favorire le connessioni verso l'esterno (per farvi navigare su internet).

Sempre qui potete trovare le regole che sono:

bloccare tutte le connessioni in entrata.

Codice: Seleziona tutto

iptables -P INPUT DROP
bloccare tutte le connessioni che attraversano il PC non dirette a voi.

Codice: Seleziona tutto

iptables -P FORWARD DROP
favorire le connessioni interne del vostro PC, tra programma e programma.

Codice: Seleziona tutto

iptables -A INPUT -i lo -j ACCEPT
far entrare tutte le connessioni che avete richiesto voi.

Codice: Seleziona tutto

itables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Per far uscire le connessioni non serve impostare una regola perchè è già impostata di default.



Ora queste regole devono essere scritte in un terminale con i privilegi di amministratore o root.

Aprite il terminale e scrivete le regole, una alla volta, precedute da sudo, digitando la password quando viene richiesta.

Codice: Seleziona tutto

sudo iptables -P INPUT DROP

Codice: Seleziona tutto

sudo iptables -P FORWARD DROP

Codice: Seleziona tutto

sudo iptables -A INPUT  -i lo -j ACCEPT

Codice: Seleziona tutto

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

per sapere se le regole sono state impostate correttamente digitate

Codice: Seleziona tutto

sudo iptables -v -L
ed avrete in risposta

Codice: Seleziona tutto

Chain INPUT (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP)
 pkts bytes target     prot opt in     out     source               destination   

Chain OUTPUT (policy ACCEPT)
 pkts bytes target     prot opt in     out     source               destination 

A questo punto il vostro firewall sarà stato impostato con le vostre regole ma al successivo avvio del vostro PC le regole dovranno essere riscritte in quanto non saranno state salvate.
Per ovviare a questo inconveniente possiamo configurare uno script (un file con dei comandi scritti al suo interno) che possa automaticamente far partire le vostre regole ogni volta che avviate il sistema operativo.

Esiste un file che si chiama rc.local a questo indirizzo /etc/rc.local che viene eseguito allo start di Ubuntu qualora al suo interno ci siano dei comandi da eseguire. Di default non c'è nessun comando.

Codice: Seleziona tutto

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

exit 0
Possiamo perciò scrivere le nostre regole all'interno di questo file.

Aprite il terminale e scrivete

Codice: Seleziona tutto

sudo gedit /etc/rc.local
digitando la password quando viene richiesta.

Vi comparirà una finestra contenente il file, all'interno del quale potrete scrivere le vostre regole in questo modo.

Codice: Seleziona tutto

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
exit 0
Salvate, chiudete la finestra e chiudete il terminale.

A questo punto le regole dovrebbero essere configurate automaticamente ogni volta che accedete al sistema operativo. Per controllare che sia effettivamente così riavviate il sistema operativo, riaprite il terminale e digitate

Codice: Seleziona tutto

sudo iptables -v -L
se compaiono le regole lo script ha funzionato.

Ovviamente potete scrivere tutte le regole che volete per gestire al meglio la vostra macchina, è sufficiente conoscere un pò il linguaggio di iptables che trovate qui.
Avatar utente
streetcross
Accecante Asceta
Accecante Asceta
Messaggi: 24943
Iscrizione: giovedì 7 febbraio 2008, 10:52
Contatti:

Re: ho fatto lo script

Messaggio da streetcross »

La differenza con la guida del wiki è che sul wiki il paragrafo per l'avvio automatico dice solo
Per ovviare a questo problema si possono inserire i comandi in uno script da lanciare all'avvio del computer.
mentre tu dici come inserirlo in rc.local.
Mi sembra che si potrebbe aggiungere una spiegazione effettiva anche sulla documentazione, dato che la guida sull'avvio automatico è inerente ai soli DE, e non mi pare ne abbiamo una per rc.local, però più che modificare lo script io suggerirei la creazione di uno script indipendente da avviare tramite rc.local...
facciamo così, unisco alla discussione sulla guida così vediamo cose ne pensano anche gli altri :)

EDIT: fatto, discussioni unite :)
Ubuntu user #22995 Linux user #474679 Stacy can't you see, you're just not the girl for me, I know it might be wrong, but I'm in love with Stacy's Mom. ﺕ In molti credono di essere degli alternativi. In realtà la maggior parte di loro lascia la strada principale per seguire la seconda strada più battuta; in pochi si creano il proprio sentiero.
pachisapiu

Re: IPTables

Messaggio da pachisapiu »

anche qui segnalo che firestarter non è più nei repo di ubuntu
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

Re: IPTables

Messaggio da xavier77 »

Vista la tua segnalazione, ma anche e soprattutto per il fatto che la pagina non riceve sostanziali modifiche di contenuto dal 18/02/2012, metto la pagina in CategoryDaRevisionare.

Se qualcuno vuole revisionarla, come sempre, è benvenuto!
:ciao:
Staffo
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 943
Iscrizione: venerdì 16 marzo 2012, 11:38
Desktop: Unity
Distribuzione: Ubuntu 16.04 LTS
Sesso: Maschile
Località: Palazzolo sull'Oglio
Contatti:

Re: IPTables

Messaggio da Staffo »

xavier77 [url=https://forum.ubuntu-it.org/viewtopic.php?p=4985914#p4985914][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
Vista la tua segnalazione, ma anche e soprattutto per il fatto che la pagina non riceve sostanziali modifiche di contenuto dal 18/02/2012, metto la pagina in CategoryDaRevisionare.
Pagina di firestarter spostata nel cestino [1] e rimossi i riferimenti al programma dalla pagina Sicurezza/Iptables. Per maggiori info: viewtopic.php?f=46&t=115645&p=4988205#p4988205

[1] https://wiki.ubuntu-it.org/Cestino/Firestarter
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

Re: IPTables

Messaggio da xavier77 »

Carlin0 ha scritto in ML che ha revisionato la guida per Iptables.
C'è bisogno però di una "svecchiata" dal punto di visto formale. Provo a farlo nel pomeriggio.

EDIT:
pubblicata con semplificazioni e adattamento agli standard wiki.
Controllate se va bene oppure se ci sono dettagli da corregere.
È verificata per 20.04, però siccome spiega come impostare iptables al posto di nftables, deduco che sia valida anche per le successive.
In tal caso aggiungete pure altre versioni al "verificata con".
Grazie :birra: :ciao:
Scrivi risposta

Ritorna a “Gruppo Documentazione”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti