domanda su iptables

[Dissidia]

ciao, aiutandomi con internet ho creato questo firewall secondo voi può andare bene??

Codice: Seleziona tutto

#!/bin/bash

   ######################################
        #  RIFIUTO DATI INGRESSO E TRANSITO  #
        ######################################
   
   sudo iptables -P INPUT DROP
   sudo iptables -P FORWARD DROP
   sudo iptables -P OUTPUT ACCEPT

        ##########
        #  BASE  #
        ##########

   sudo iptables -A INPUT -i lo ACCEPT
   sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

   ####################
   #  APERTURA PORTE  #   
   ####################

   sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 88 -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
   sudo iptables -A INPUT -p udp --dport 4672 -j ACCEPT
   
   ################################
   # DROP PACCHETTI NON RICHIESTI #
   ################################

   sudo iptables -A INPUT -m state --state INVALID -j DROP
   sudo iptables -A FORWARD -m state --state INVALID -j DROP

        ###########################################################
        #  IMPEDIRE L'ACCESSO A PACCHETTI ESTERNI CON IP PRIVATO  #
        ###########################################################

   sudo iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
   sudo iptables -A FORWARD -s 10.0.0.0/8 -i eth1 -j DROP
   sudo iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
   sudo iptables -A FORWARD -s 172.16.0.0/12 -i eth1 -j DROP
   sudo iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
   sudo iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

[Megatux]

Se sei dietro ad un router hai già un buon firewall... e comunque, su Ubuntu puoi stare tranquillo... 

[Dissidia]

si lo so che con ubuntu posso stare tranquillo e che il router gia ne ha uno però era solo per la soddisfazione di configurare un firewall da solo

[Dissidia]

visto nessuno mi risponde chiedo di far chiudere questa discussione tanto ormai è diversi giorni che è aperta e nessuno mi ha risposto

[ARM_]

ciao. Un firewall è un insieme di regole per uno scopo. Il tuo qual'è? perchè senza sapere qual'è il tuo obiettivo, quelle regole possono essere le migliori del mondo come perfettamente inutili.

[Dissidia]

il mio scopo è fare in modo che nessuno possa accedere al mio computer

[gdivito]

il mio scopo è fare in modo che nessuno possa accedere al mio computer

allora spegnilo.

[Dissidia]

perchè?? mi sembra che sia a posto visto che accetto solo i pacchetti richiesti (quindi la robbaccia non dovrebbe entrare)

[gdivito]

perchè?? mi sembra che sia a posto visto che accetto solo i pacchetti richiesti (quindi la robbaccia non dovrebbe entrare)

e chi te lo dice che non entra dalle porte aperte?

[ARM_]

hai aperto verso l'esterno 4 porte, tra cui quella di ssh. Un ottimo modo per permettere alla gente di entrare.

[gdivito]

hai aperto verso l'esterno 4 porte, tra cui quella di ssh. Un ottimo modo per permettere alla gente di entrare.

già, uno si mette 4 firewall, 6 IDS, 4 sistemi MAC e poi magari mette "toor" come password di root.

[pyth0n3]

perchè?? mi sembra che sia a posto visto che accetto solo i pacchetti richiesti (quindi la robbaccia non dovrebbe entrare)

Si potrebbe compromettere un servizio che stai utilizzando , anzi la debolezza sta nel cervello umano
Una volta compromesso  il tuo sistema un malintenzionato potrebbe comunicare  con il computer anche se si trova dietro un firewall di tipo NAT
Si può anche semplicemente sfruttare una vulnerabilità del browser che stai utilizzando per navigare su internet  ottenendo accesso non autorizzato dopodiché magari una scalata dei privilegi in locale sfruttando sempre  qualche bug di un servizio
Tutto può essere semplice come lo può essere anche difficile
Comunque quando si implementa un firewall lo si fa con un obiettivo preciso perché non sempre qualche regola puo salvare l'intero sistema
Infatti ben detto "Un computer spento e un computer sicuro"
Non e assolutamente sbagliato implementare regole nel firewall , anzi fa bene essere prudenti da questo punto di vista
La debolezza sta comunque nel cervello umano
Si implementano sistemi anti-intrusione e le password vengono buttate nella spazzatura da parte degli amministratori stessi , negli altri casi magari vengono lasciate sulla scrivania vicino al computer

[AlexDiste]

Senza contare che usando la porta 80 (o 8080) e quella dell Upnp spesso si superano anche router, intrastando il traffico in una connessione ad un server privato di terze parti.

Un pò come fa teamviewer per superare i firewall, instrada il traffico in un tunnel http, l' unico modo per bloccarlo è bloccare tramite host l' accesso al ip del server di teamviewer

[Dissidia]

quindi mi consigliate di toglierlo?? e se magari lo voglio voglio fare giusto per la soddisfazione di crearne uno da solo non lo attivo in modo da non compromettere la sicurezza??
Grazie per le risposte

Comunque non volevo aprire la porta 88 ho sbagliato volevo aprire la 80

PS una protezione con il firewall del wiki me la consigliate??

[Dissidia]

oppure del firewall di mizar cosa ne pensate??

#!/bin/bash
#
# Firewall personale by Benjamin (Mizar)
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT="eth0"            # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
    ########################
    # Attivazione Firewall #
    ########################
        echo -n "Attivazione Firewall:    "

    #################################
    # Caricamento Moduli del Kernel #
    #################################
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_LOG
    modprobe ipt_MARK
    modprobe ipt_MASQUERADE
    modprobe ipt_REDIRECT
    modprobe ipt_REJECT
    modprobe ipt_TOS
    modprobe ipt_limit
    modprobe ipt_mac
    modprobe ipt_mark
    modprobe ipt_multiport
    modprobe ipt_state
    modprobe ipt_tos
    modprobe iptable_mangle

    ############################
        # Reset delle impostazioni #
    ############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

    ################################
        # Impostazione Policy standard #
    ################################
        $IPTABLES -P INPUT  DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT  ACCEPT

    #################################
    # Abilitazione traffico interno #
    #################################
    $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
    $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT

    #############################################################################
        # Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
    #############################################################################
        $IPTABLES -A INPUT -p  tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

        ########################
        # Apertura porte aMule #
        ########################
        iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
        iptables -A INPUT -p udp --dport 4665 -j ACCEPT
        iptables -A INPUT -p udp --dport 4672 -j ACCEPT

        echo "ok"
    ;;

  stop)
    ###########################
        # Disattivazione Firewall #
    ###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT  ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
    ;;

  status)
    ##############################
        # Display stato del Firewall #
    ##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
    ;;

  restart|reload)
        $0 stop
        $0 start
    ;;

  *)
    echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
    exit 1
    ;;

esac

exit 0

ne parlano molto bene, vi posto anche la discussione in cui se ne parla

http://forum.ubuntu-it.org/viewtopic.php?t=12833


PS comunque da questo firewall dovrei aprire la porta 80 per usare php

[ARM_]

il punto è che, come ti dicevamo prima, senza uno scopo preciso si tratta di andare alla ceca. Il fatto di farlo per sfizio è un ottimo motivo, ma non definisce alcuno scopo.

Che servizi vuoi abilitare? verso chi? A chi li vuoi negare?
Ad esempio, questo è il mio

Codice: Seleziona tutto

sudo iptables -P INPUT   DROP
sudo iptables -P FORWARD   DROP
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 10160 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 10166 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 10163 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 51413 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 5003 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 5002 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 139 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 445 -j ACCEPT
sudo iptables -A INPUT -p udp -i eth0 --dport 137 -j ACCEPT
sudo iptables -A INPUT -p udp -i eth0 --dport 138 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 5900 -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter


il mio scopo? ho tre interfacce, lo, eth0 e ppp0.
i servizi ssh, gestione remota di amule e samba devono essere disponibili solo verso eth0
amule e apache devono invece poter usare anche ppp0 (il mondo esterno).
tutto il resto è esplicitamente vietato tranne quando richiesto.

Non è perfetto, ma fa il suo dovere.

[Dissidia]

ho capito cosa vuoi dirmi te, adesso allora prima penso allo scopo del mio firewall e poi lo sistemo, quando l'ho fatto lo posto ok?

PS: prima sinceramente non avevo pensato ad uno scopo mi ero semplicemente basato su qualche guida letta in internet solo per imparare ad usarlo

Comunque a me serve che siano aperte le porte di aMule, la porta 80 per apache e php e poi voglio ricevere soltanto i pacchetti richiesti da me ora lo faccio e poi lo posto.

potresti spiegarmi meglio queste cose:
- cosa è eth0 e ppp0
- perchè gestione remota di amule e samba vuoi che devono essere disponibili solo verso eth0 mentre apache e amule devono usare solo ppp0

io mi connetto ad internet con il wireless tramite eth1

[ARM_]

L'ho fatto perchè ho due pc, il mulo - fileserver, e il mio pc desktop.

eth0 e ppp0 sono due interfacce, con due ip distinti. ppp0 è una connessione diretta ad internet, ed ha un suo ip pubblico. eth0 è invece rivolta solo alla rete interna, dove c'è il mio desktop. Io non voglio che "altri" cerchino di collegarsi alle interfacce di comando di amule, a scanso di equivoci. lo comando solo dal mio desktop. Idem con samba e ssh. Questi servizi sono comunque impostati per non accettare connessioni da cani e porci, ma istruendo iptables per filtrare le chiamate verso di loro metto uno strato di sicurezza in più. Ed evito attacchi verso queste porte.

apache e amule non devono usare solo ppp0, ma anche ppp0. Che alla fine è l'unica che usano, di fatto, ma se cerco di accedere ad apache dalla rete interna, questo risponde lo stesso. invece, se chiamo ssh dall'università, iptables droppa via e ssh non si accorge neanche di essere stato chiamato.

[Dissidia]

ecco come l'ho modificato può andare bene??
sono abbastanza sicuro così??

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4672 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

sudo iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
sudo iptables -A FORWARD -s 10.0.0.0/8 -i eth1 -j DROP
sudo iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
sudo iptables -A FORWARD -s 172.16.0.0/12 -i eth1 -j DROP
sudo iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
sudo iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP