settare firewall

[Mizar]

Non è importante l'estensione del file sul Linux. Linux non usa tali estensioni per capire se un file è eseguibile oppure no .... usa i permessi impostati, quindi va bene chiamare il file firewall o firewall.sh o firewall.mio.

L'importante è assegnare i permessi 755 al file in /etc/init.d

In ogni caso, riposto uno script per il firewall un po' più completo:
Ho aggiunto una opzione per mostrare lo stato attuale, richiamabile con: /etc/init.d/firewall status
Ho aggiunto anche 3 regole di base per consentire tutto il traffico in uscita e il traffico in risposta.
Ho aggiunto il display dei messaggi in relazione al comando impartito.

Attenzione al fatto che con questo modo, la macchina è invisibile su internet ..... potete verificarlo con dei test con nmap impartiti dall'esterno sulla vostra macchina. Tentativi di accesso dall'esterno alla macchina la fanno apparire come inesistente, pur consentendo l'utilizzo di qualsiasi servizio esterno da parte della macchina.

E' solo un esempio ..... eventuali configurazioni dei vostri firewall potete farli modificando lo script nella sezione indicata con "Regole del Firewall"

Ciao

[rocoat82]

intanto grazie, stasera provo, ma quello che ti volevo anche dire e` che mi sembra manchi il post nuovo!

[Mizar]

Si, hai ragione per qualche motivo non aveva preso l'attach ..... ho corretto.

[rocoat82]

una domanda sull'utilizzo dello script.
Mettiamo il caso che lo chiamo pippo, una sua modalita` d'uso per sfruttare una delle funzionalita` che hai inserito (es. status), devo digitare pippo status?

[Mizar]

Quello script è stato creato per essere inserito in /etc/init.d in modo da essere linkato nei vari runlevel alla pari degli altri script.

Se lo attivi con un tool come BUM, al boot verrà avviato con il parametro start e allo shutdown fermato con il parametro stop.

Da linea di comando puoi lanciarlo, dopo averlo inserito in /etc/init.d ed averlo reso eseguibile con:

Codice: Seleziona tutto

sudo chmod 755 /etc/init.d/firewall

Le possibilità di lancio sono:

Codice: Seleziona tutto

sudo /etc/init.d/firewall start

per farlo partire,

Codice: Seleziona tutto

sudo /etc/init.d/firewall stop

per fermarlo,

Codice: Seleziona tutto

sudo /etc/init.d/firewall restart

o

Codice: Seleziona tutto

sudo /etc/init.d/firewall reload

per farlo farlo ripartire,

Codice: Seleziona tutto

sudo /etc/init.d/firewall status

per farti stampare sul terminale l'impostazione attuale.

[rocoat82]

Grande, stasera lo provo subito!

[rocoat82]

MA il tuo esempio non dovrebbe permettermi di navigare in rete?Quando lo attivo non riesco più a navigare; avevo provato ad aggiungere anchio delle regole simli alle tue, solo che anche con queste mi viene bloccato il traffico! Qual'è il mio sbaglio?

[allegato eliminato dall\'amministratore]

[Thug]

prova con questo che e' sempre basato sullo script di mizard (quello vecchio pero'). e' composto dalle regole della guida di iptables presente nel wiki italiano, in piu' alcune regole per utilizzare amule sulle porte 4662 e 4672 (queste 3 regole le puoi trovare sul iki nel sito www.amule.org cosi se non ti interessano le elimini te  a mano)

ciao!

[allegato eliminato dall\'amministratore]

[rocoat82]

Sono riuscito a caipre il problema!
Era la policy  che era troppo restrittiva e allora lo messa ad ACCEPT; ho qualche articolo che spega la differenza tra le due, però per quelli che non lo sanno ancora, provo a scrivere due righe:

Un firewall può essere configurato di base in due modi distinti:
> consentendo l'accesso a tutto ciò che non è esplicitamente negato (iptables -I INPUT ACCEPT);
> negando l'accesso a tutto ciò che non è esplicitamente consentito(iptables -I INPUT DROP);

P.S.
Se vuoi posso postare il tuo modificato, con le regole che ho aggiunto io (che non sono una bomba, ma da neofita del camo sicurezza, ho aggiunto anche delle regole di LOG delle connessioni).

P.S.
Adesso provvedo a testare le regole con Sygate e poi vi faccio sapere.

[rocoat82]

sygate mi segnala le porte blocked e nonn closed, dicendo che ci potrebbero essere problemi con dei Trojan che si trovano facilmente in rete! Per queste porte per mi viene detto che appaiono come nascoste. Qual'è la via migliore?

Comunque posto il firewaal che utilizzo

[allegato eliminato dall\'amministratore]

[Thug]

sygate mi segnala le porte blocked e nonn closed, dicendo che ci potrebbero essere problemi con dei Trojan che si trovano facilmente in rete! Per queste porte per mi viene detto che appaiono come nascoste. Qual'è la via migliore?

Comunque posto il firewaal che utilizzo

io con il mio ho tutte le porte stealth

[Mizar]

Ci sono 2 modi per configurare il firewall in relazione alla policy standard utilizzata.

Se si usa ACCEPT come policy standard le regole inserite proteggono il sistema rifiutando i pacchetti.
Se di usa DROP come policy standard, il sistema inzialmente è chiuso e con le regole si aprono le porte necessarie.

Il secondo sistema è più sicuro, in quanto ci si accorge di qualcosa che non funziona e si apre la porta ..... nel primo caso, accorgersi di una porta "aperta" è più difficile.

Il semplice firewall che ho postato prima, consente ad un pc desktop di navigare e utilizzare i vari servizi internet, ma è chiuso a richieste dall'esterno, cioè non può offrire servizi come ssh, http, etc.

Per consentire questo è necessario aprire le porte relative.

Ciao

[Thug]

iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

che differenza s'e' tra le due regole?! non permettono entrambe l'utilizzo di una determinata porta?!  grazie

ciao

[federacchio]

1) iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT      filtra per protocollo + interfaccia in ingresso + porta di destinazione sulla tua macchina

2) iptables -A INPUT -p tcp --dport 4662 -j ACCEPT            filtra per protocollo + porta di destinazione sulla tua macchina

Nel primo caso riesci a discriminare sulla provenienza del traffico in entrata (ad esempio se dalla tua lan o dall'esterno o dalla DMZ etc...), nel secondo ti limiti al classico filtro usato quando il resto è in DROP, ossia blocco tutto quello che non faccio passare esplicitamente.

In genere discrimino sempre per porta per redirigere poi a una sottocatena per l'area che mi interessa.

Fedefiko

[tud]

Ho trovato questo script per lanciare e settare il firewall: http://rob.pectol.com/content/view/14/29/
Non sembra male

[rocoat82]

Qualcuno sa che porta utilizza skype per chiamare o effettuare una chat

[Alex^77]

Siccome ho passato giorni e giorni cercando di configurare la mia iptables in modo "umano" ecco un paio di cose interessanti:

http://openskills.info/topic.php?ID=124
Qui trovi una guida OTTIMA in italiano su come configurare iptables!!
Forse è un attimo "prolissa" in certi punti, ma ti assicuro che, finito di leggere l'ultima pagina, in 2 ore hai un firewall "buono"

ecco la mia configurazione: (anche io sono dietro un router e non ho grosse "pretese")

Codice: Seleziona tutto

Chain INPUT (policy DROP)
target     prot opt source               destination
QUEUE      all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            PKTTYPE != broadcast LOG level debug prefix `INPUT DROP: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
QUEUE      all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            PKTTYPE != broadcast LOG level debug prefix `OUTPUT DROP: '


[rocoat82]

A proposito di skype, ho consultato il sito ufficiale e ho scoperto che non utilizza una porta in particolare, quindi consigliano di permettere il traffico tcp in uscita, da tutte le porte! Ci sono alcuni vincoli che riguardano la versione, ma per essere sicuri che skype funziona, una volta riconfigurato il firewall, provare a contattare "echo123". Se si sente un messaggi registrato, allora dovrebbe funzionare il tutto!

P.S.
thanks Alex^77,!

[ShinjiLeery]

Salve a tutti

Prima di inserire lo script trovato in questo interessante topic, volevo sapere se andava bene per la mia configurazione di rete:
- Sono un utente fastweb
- All'hug è collegato un access point wireless (DHCP attivato) a cui sono collegati tre pc (uno linux e due WIN)
- Vorrei gestire una condivisione di files e stampanti tra tutti i pc della rete
- Come programmi uso oltre ad internet e posta: amule adunanza (che ora funziona), gaim, xchat, azureus (che non mi si connette al momento ).

Che cosa dovrei aggiungere/modificare allora script da voi postato? (quello fatto da mizar)

P.S. Ecco com'è ora il mio ipfilter

Codice: Seleziona tutto

Chain INBOUND (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4662
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4672
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4665
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4665
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:49355
ACCEPT     udp  --  anywhere             anywhere            udp dpt:49355
LSI        all  --  anywhere             anywhere

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  ns009dns.fastweb.it  anywhere            tcp flags:!SYN,RST,ACK/SYN
ACCEPT     udp  --  ns009dns.fastweb.it  anywhere
ACCEPT     tcp  --  ns010dns.fastweb.it  anywhere            tcp flags:!SYN,RST,ACK/SYN
ACCEPT     udp  --  ns010dns.fastweb.it  anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
DROP       all  --  anywhere             255.255.255.255
DROP       all  --  anywhere             23.255.183.255
DROP       all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       all  --  255.255.255.255      anywhere
DROP       all  --  anywhere             0.0.0.0
DROP       all  --  anywhere             anywhere            state INVALID
LSI        all  -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    all  --  anywhere             anywhere
LOG_FILTER  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
LOG_FILTER  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Forward'

Chain LOG_FILTER (5 references)
target     prot opt source               destination

Chain LSI (2 references)
target     prot opt source               destination
LOG_FILTER  all  --  anywhere             anywhere
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       icmp --  anywhere             anywhere            icmp echo-request
LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP       all  --  anywhere             anywhere

Chain LSO (0 references)
target     prot opt source               destination
LOG_FILTER  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  23.255.178.46        ns009dns.fastweb.it tcp dpt:domain
ACCEPT     udp  --  23.255.178.46        ns009dns.fastweb.it udp dpt:domain
ACCEPT     tcp  --  23.255.178.46        ns010dns.fastweb.it tcp dpt:domain
ACCEPT     udp  --  23.255.178.46        ns010dns.fastweb.it udp dpt:domain
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       all  --  255.255.255.255      anywhere
DROP       all  --  anywhere             0.0.0.0
DROP       all  --  anywhere             anywhere            state INVALID
OUTBOUND   all  --  anywhere             anywhere
LOG_FILTER  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Output'


[Tyler]

Riporto all'attenzione questo vecchio topic per avere un'informazione.
Sto usando lo script di Mizar per iptables e dopo averlo reso eseguibile e regolarmente attivato faccio il test online di sygate che però mi dice che le porte sono chiuse e non bloccate e quest'ultimo è proprio il risultato che vorrei ottenere.

Ho aggiunto allo script di Mizar le 3 semplici regole che sono nel wiki. Posto il file così potete darci un'occhiata e consigliarmi come fare per far apparire le porte "invisibili".


[allegato eliminato dall\'amministratore]