Pagina 12 di 32
Re: settare firewall
Inviato: domenica 28 gennaio 2007, 11:30
da Stealth
Non è esattamente ciò che chiedi, ma puoi dire al tuo firewall di accettare connessioni esterne solo da una determinata scheda di rete, dandogli il MacAddress
Codice: Seleziona tutto
$IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
l'indirizzo hardware è univoco, e lo ricavi dal comando ifconfig, alla voce "HWaddr"
ciao
Re: settare firewall
Inviato: domenica 28 gennaio 2007, 11:50
da Moratz
grazie dell'aiuto Stealth..(innanzitutto piacere..di conoscerti..vedendo questo topic ho visto molti post tuoi) (b2b)
ma spiegami una cosa..
premetto che è da poco che sono entrato nel mondo linux per cui ..concedimi qualche Svista..
Ho letto quà e là che iptables lo si può configurare tenendo conto del fatto che le regole sono tutte incatenate tra di loro..per cui penso che la posizione nello script in cui io vado a mettere una regola sia di fondamentale importanza..
Quindi se ho capito bene.. sarebbe
Codice: Seleziona tutto
#################################
# Abilitazione traffico interno #
#################################
$IPTABLES -A INPUT -i $IFLO -j ACCEPT
$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
$IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT MAcchina 1
$IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT MAcchina 2
Cioè la cernita là farebbe sul MacAdress (e dovrei inserire tante vole la riga quante sono le schede di rete delle macchine giusto?)
Re: settare firewall
Inviato: domenica 28 gennaio 2007, 12:05
da Stealth
L'opzione -A serve a dirgli proprio quello, cioè di "appendere" (aggiungerla) la regola che stai inserendo. Puoi così aggiungere la linea in fondo alle tue regole, ad esempio avendo prima vietato tutto ed "appendendo" questa, stai di fatto creando una eccezione al divieto.
Dai un'occhiata a "iptables --help" e a "man iptables", otre alle mille guide che trovi in rete, più o meno spiegano tutto.
Ad esempio:
Codice: Seleziona tutto
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Questo è un estratto dell'help di iptables, e credo anche che (proprio in questo sterminato post) l'argomento sia già stato affrontato.
ciao e buon lavoro
Re: settare firewall
Inviato: lunedì 29 gennaio 2007, 14:05
da Moratz
Ragazzi non mandatemi sull'acciedenti... :-[
Allora vediamo un poco ho modificato il mio script del firewall (Di Mizar) così..
Ho aggiunto LAN=192.168.0/24 (per specificare quale era la mia lan)
poi alle porte samba e cups ho specificato che i dati devono provenire dalla mia LAN.
Una domanda :-[ ma la dicitura 0/24 indica tutti gli ip?, perchè è l'unico valore che mi accetta, in quanto se metto 0/60 non me lo prende, in quanto ho macchine win con ip xx.xx.xx.60
Codice: Seleziona tutto
#!/bin/bash
# Firewall personale by Benjamin (Mizar)
############################################
#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
LAN=192.168.0.0/24
IFEXT="eth0" # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc
case "$1" in
start)
#################################
# Abilitazione traffico interno #
#################################
$IPTABLES -A INPUT -i $IFLO -j ACCEPT
$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFEXT -s $LAN --dport 631 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $IFEXT -s $LAN --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $IFEXT -s $LAN --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $IFEXT -s $LAN --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $IFEXT -s $LAN --dport 138 -j ACCEPT
Qusto è il mio iptables -L -vv
Codice: Seleziona tutto
Chain INPUT (policy DROP 86 packets, 23883 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
434 32716 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
56 14325 ACCEPT tcp -- eth0 any localnet/24 anywhere tcp dpt:ipp
155 21805 ACCEPT tcp -- eth0 any localnet/24 anywhere tcp dpt:netbios-ssn
0 0 ACCEPT tcp -- eth0 any localnet/24 anywhere tcp dpt:microsoft-ds
17 1428 ACCEPT udp -- eth0 any localnet/24 anywhere udp dpt:netbios-ns
22 5110 ACCEPT udp -- eth0 any localnet/24 anywhere udp dpt:netbios-dgm
21 7498 ACCEPT tcp -- eth0 any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- eth0 any anywhere anywhere state RELATED,ESTABLISHED
10 949 ACCEPT udp -- eth0 any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 675 packets, 100K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any lo anywhere anywhere
Che ne dite?
A quanto ho capito (concedetemi un qualche errore, ma per me è complicato..)
In questo modo dovrei aver tutto il traffico inentrata bloccato, (tranne quello della mia rete interna)e l'uscita verso lar ete libera..
Accetto critiche ..consigli...di tutto insomma... ::)
Re: settare firewall
Inviato: domenica 18 febbraio 2007, 19:26
da pippuccio76
nonostante :
########################
# Apertura porte aMule #
########################
$IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT
kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.
[Kernel] Re: settare firewall
Inviato: lunedì 19 febbraio 2007, 23:24
da marklubuntu
Ciao raga
scusate se la mia potrebbe sembrare la solita intrusione di quello che casca dalle nuvole.
Qualcuno sarebbe in grado di dirmi dove in Ubuntu 6.06.1 sono impostate di default le regole di iptables.
In slackware per esempio , se potesse servire a qualcuno , sono in /etc/rc.d/rc.modules intorno alla riga 600.
Quello che cerco è una informazione simile.
Pensavo cher invece di creare un nuovo script , sarebbe più interessante andare a modificare quello già esistente.
Un'ultima domanda cortesemente.
Fino ad ora ho usato iptables in una macchina dedicata ad essere firewall , con una Slackware 10.2 come dicevo prima, con doppia scheda di rete , con regole di FORWARDING per l'attraversamento.
Quello che non capisco è a cosa serve la regola FORWARD in un sistema client con una singola scheda.
Ma il forwarding non è in sostanza il routing, che ci azzecca con i sistemi client?
Grazie per le gentili spiegazioni.
[Kernel] Re: settare firewall
Inviato: martedì 20 febbraio 2007, 7:18
da marklubuntu
Ok raga
ci sono perfettamente!!
Mentre voi dormivate o facevate tutt'altro con un po' di pazienza mi sono letto l'intero post.
Dopo svariate prove sono riuscito a fare partire in automatico lo script per avviare
la nuova catena di iptables al login grazie anche agli aiuti di MIZAR e di PTAH che hanno realizzato lo script per il firewall.
Non potendovi ringraziare uno ad uno , ringrazio tutti i partecipanti, in quanto da ognuno ho appreso
nozioni importanti per portare a termine la missione.
Ringrazio in oltre l'autore del topic che ha postato il link a /etc/rcn.d/..... dello script in questione ora non ricordo il nome , sono anche le sette di mattina , non me ne voglia dunque, grosso mattone per la riuscita dell'impresa.
Ora non mi resta che controllare il suddetto file e apportare le modifiche che più fanno al mio caso
e quindi ricreare il soft link in /etc/rc2.d/....
Grazie ancora a tutti, è stata una bella esperienza, tanto non avevo sonno.
Re: settare firewall
Inviato: martedì 20 febbraio 2007, 18:04
da djlunare
Piccola curiosità, il mio linux è in lan tramite il pc windows di mio padre..modem usb con avast come antivirus, ho scaricato da questo post il file " firewall.txt " e l'ho inserito in /etc/init.d sono anche io con eth0 quindi non ho dovuto cambiare nulla nel file, così mi chiedevo, essendo in lan se avvio il firewall funziona ? o avrò problemi con internet che non funziona più ?
Re: settare firewall
Inviato: sabato 24 febbraio 2007, 14:40
da pippuccio76
pippuccio76 ha scritto:
nonostante :
########################
# Apertura porte aMule #
########################
$IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT
kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.
cosa faccio ???
Re: settare firewall
Inviato: sabato 24 febbraio 2007, 15:10
da Tyler
Se usi un router devi aprire quelle porte anche sul router, oltre che in iptables.
Re: settare firewall
Inviato: sabato 24 febbraio 2007, 15:11
da orse
ciao ragazzi, sono alle prime armi con linux e kubuntu 6.06 ho un pc casalingo unico e mi connetto tramite alice con modem ethernet ho cercato di settare iptables leggendo alcuni post di questa discussione ed il risultato che ricevo facendo iptables -L è questo:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
e la connessione sembra che funzioni però ho due problemi ed un paio di curiosità da risolvere
1) allavvio durante il caricamento di boot alla voce firestrarted ricevo failled
2) non riesco più ad utilizzare Gnutella per la condivisione di file
3cosa ne pensate della -L sopra incollata, come posso miglirarla
grazie dell'aiuto
Re: settare firewall
Inviato: sabato 24 febbraio 2007, 22:55
da pippuccio76
Tyler ha scritto:
Se usi un router devi aprire quelle porte anche sul router, oltre che in iptables.
Ho un modem ethernet non un router
Re: settare firewall
Inviato: martedì 27 febbraio 2007, 10:09
da Telefo
pippuccio76 ha scritto:
pippuccio76 ha scritto:
nonostante :
########################
# Apertura porte aMule #
########################
$IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT
kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.
cosa faccio ???
Ti dico come ho risolto io, (Ho anch'io un modem ethernet), aprendo tutte e 3 le porte udp successive alla 4662:
Codice: Seleziona tutto
$IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4662:4665 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT
così riesco a passare ed ottenere tutt'e due gli id alti!
Tieni conto che la rete Kad ci può mettere un po' prima di accorgersi di non essere più firewalled...
ciao
Re: settare firewall
Inviato: domenica 4 marzo 2007, 14:45
da pippuccio76
Fatto ma kad passa da firewallwd a off
Re: settare firewall
Inviato: domenica 4 marzo 2007, 16:00
da samburu
Re: settare firewall
Inviato: martedì 6 marzo 2007, 13:34
da pippuccio76
Altra soluzione per la rete kad?
Re: settare firewall
Inviato: venerdì 9 marzo 2007, 15:06
da aleandro
Guarda io ho dovuto fare così:
################################
# Impostazione Policy standard #
################################
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#################################
# Abilitazione traffico interno #
#################################
$IPTABLES -A INPUT -i $IFLO -j ACCEPT
$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
#############################################################################
# Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
#############################################################################
$IPTABLES -A INPUT -p tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
########################
# Apertura porte aMule #
########################
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
tratto dallo script di mizar; ho dovuto tuttavia settare tutto su accept anche nel policy standard. Inoltre sul router ho dovuto aprire le porte per e-mule. Non so se ti conviene aprirne più di una per emule in iptables dopo la 4662 come dice telefo. In teoria basta la TCP mentre la UDP restituisce i pacchetti direttamente ma è insicura e non è necessaria.
Re: settare firewall
Inviato: venerdì 16 marzo 2007, 12:09
da AlexSistemiFree
Posso fare un'osservazione aleandro?
Guardando le tue impostazioni mi è preso un colpo
Se metti tutto su accept devi mettere dei drop nel firewall in caso contrario è inutile avere un firewall.
Cercherò di essere più chiaro, con le tue impostazioni dici,
accetto tutto ingresso, passaggio,uscita
poi aggiungi che su talune porte abiliti il traffico in entrata solo se relativo a pacchetti in risposta. L'utilità di questa soluzione è minima.
Per come hai configurato adesso il tuo firewall potevi pure evitare di specificare le porte per aMule ...
Riguardo a Kad vi riporto questo link:
http://www.emule.it/guida_emule/guide/g ... demlia.asp
si riferisce ad emule ma la sostanza non cambia.
...
La porta UDP, di default 4672, che dovete aprire sul router o sul firewall insieme alle altre 2 per non essere Firewalled (equivalente ad ID Basso con i server).
Chi utilizza questi programmi saprà essere più preciso di me.
Detto questo, anche io ho dei dubbi, nel mio caso si tratta di altervista, provando il livecd riesco ad effettuare l'upload di dati nel mio sito mentre con il firewall di Mizar no. Se qualcuno ha un'idea.
Al limite apro un topic apposito relativo a tale problema.
Ciao Ale
Nota:
Per quanto sia divertente modificare le regole di un firewall certe modifiche sono disastrose ... e le mie vogliono essere solo osservazioni nell'intento di imparare un po' tutti, basta veramente poco, per rendere inutile un firewall.
Re: settare firewall
Inviato: venerdì 16 marzo 2007, 13:09
da aleandro
Non c'è dubbio che impostare il firewall come ho fatto io sia come non averlo ammesso che uno si colleghi con modem. Eppure se metto i due drop al posto giusto la connessione ad internet non funziona più. Onde sono costretto ad usare il firewall del router e per non sovrapporlo a quello del computer lascio tutto aperto. In teoria questo non è un problema se il router costituisce già una barriera sono più che protetto e le uniche porte aperte nel router sono quelle di amule (tcp4662 e udp4672) mentre il mio computer accetta tutto. In effetti le porte aperte per emule di iptables sono superflue ma io ho usato lo script di mizar così come è senza pormi i se ed i però.
Il settaggio che ho va inteso quindi per
firewall attraverso router anche se mi rendo conto che sia solo una delle soluzioni possibili. Il problema è che se tolgo il firewall del router allora il firewall di ubuntu settato con tutto in accept non va il che mi risulta assai strano. Devo ancora indagare sulle castronate che ho fatto usando altri scripts che forse hanno cambiato qualche impostazione di sistema.
Per quanto riguarda il kad consiglio di scaricare il file nodes.dat dal seguente sito:
http://www.emule-inside.net/
Alex continua pure in questo 3d così impariamo tutti cose nuove.
Re: settare firewall
Inviato: venerdì 16 marzo 2007, 15:11
da AlexSistemiFree
aleandro se l'avevi scritto in precedenza, riguardo al fatto che avevi settato il firewall del router io non l'avevo letto, comunque è un utile precisazione.
Per il resto, beh, non sono un mago nemmeno io ... la storia che togliendo il firewall al router e mettendo tutto in accept nel firewall linux non ti funzioni non la capisco. :-\
Del resto ho accennato pure io un mio problemino con altervista (solo ed esclusivamente durante l'upload dei file). :-\
Ciao Ale