configurazione iptables giusta

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

configurazione iptables giusta

Messaggioda Thug » giovedì 9 febbraio 2006, 20:10

questa è la mia configurazione per iptables
Codice: Seleziona tutto
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT
          iptables -P OUTPUT ACCEPT
          iptables -A INPUT -j DROP
          iptables -I INPUT 7 -i lo -j ACCEPT


va bene, o sarebbe più logica, in questa maniera?
Codice: Seleziona tutto
iptables -A INPUT -j DROP
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT
          iptables -P OUTPUT ACCEPT
          iptables -I INPUT 7 -i lo -j ACCEPT

grazie

ciao
Thug
 

Re: configurazione iptables giusta

Messaggioda gil_1 » giovedì 9 febbraio 2006, 22:12

mi piace più la seconda perchè nella prima riga hai escluso dall'essere accettati tutti quelli che non compaiono di segiuto.
gil_1
Prode Principiante
 
Messaggi: 194
Iscrizione: agosto 2005

Re: configurazione iptables giusta

Messaggioda Thug » giovedì 9 febbraio 2006, 22:26

perdonami, sono parecchio niubbo :)
intendi che con la seconda configurazione le porte ache si aprono dopo la seconda linea mi rimarranno cmunque bloccate?

PS: io per ora sto usando la prima. ma mi hanno detto che la polici di drop per l'input va messo all'inizio. sto cercando dei pareri :)
grazie!!
Thug
 

Re: configurazione iptables giusta

Messaggioda gil_1 » venerdì 10 febbraio 2006, 9:56

Mi spiego meglio.
Di defoult tutte le porte sono aperte, quindi non ha senso indicare solo quelle da aprire perchè comunque sono tutte aperte.
Perciò si usa dire al firewall "blocca tutte le porte tranne quelle esplicitamente permesse"
quindi "DROP" su tutte le porte come nella prima riga secondo esempio.
Poi si elencano le porte che si volgiono lasciar aperte come nelle righe successive del secondo esempio.

Qui vedo che hai dato alcune regole se sei alle prime armi sei sicuro che queste regole rispecchino esattamente quello che vuoi dal firewall? Sei stato restrittivo ed hai dato comandi molto specifici. Io non so cosa vuoi fare e non conosco la tua rete. Prima di applicarle controlla che soddifino le tue esigenze. Ti dico questo perchè alcuni programmi di uso comune verrbbero bloccati.
ciao
gil_1
Prode Principiante
 
Messaggi: 194
Iscrizione: agosto 2005

Re: configurazione iptables giusta

Messaggioda Mizar » venerdì 10 febbraio 2006, 11:09

E' buona norma, quando si configura un firewall come prime regole definire le policy standard per le diverse catene quindi:

Codice: Seleziona tutto
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

succesivamente abilitare il traffico locale, sull'interfaccia lo

Codice: Seleziona tutto
iptables -A INPUT -i lo -j ACCEPT


abilitare il traffico di ritorno:

Codice: Seleziona tutto
iptables -A INPUT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT


e poi definire le regole per consentire il traffico in ingresso in relazione ai servizi che vuoi attivare sulla tua macchina.

Quali servizi vuoi attivare ?
Benjamin
Mizar
Imperturbabile Insigne
Imperturbabile Insigne
 
Messaggi: 3325
Iscrizione: febbraio 2005
Località: Mola di Bari

Re: configurazione iptables giusta

Messaggioda Thug » lunedì 13 febbraio 2006, 2:04

risposta generale (scusate ma solo ora mi sono accorto che avete rispost, non ho avuto nessuno notifica email...)

a casa non ho una rete, ma un banalissimo pc desktop.a parte le regole per amule e client torrent per il resto non ho notato nessun tipo di problema. uso (oltre ai due prog di p2p): amsn, xchat, skype (non funziona, ma per problemi audio)e cups (non so se c'entra). forse non avevo nessun problema proprio per come ho configurato il firewall? ovvero che avevo lo stesso tutte le porte aperte? eppure con degli scan online anche con la prima configurazione risultava tutto chiuso.

domani provo mettendo la policy all'inizio e vi faccio sapere.
grzie mille

ciao
Ultima modifica di Thug il lunedì 13 febbraio 2006, 2:11, modificato 1 volta in totale.
Thug
 

Re: configurazione iptables giusta

Messaggioda Thug » lunedì 13 febbraio 2006, 2:58

ho cambiato in questa versione
Codice: Seleziona tutto
iptables -P INPUT -j DROP
           iptables -P OUTPUT ACCEPT
     iptables -A INPUT -i lo -j ACCEPT   
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT

eppure se eseguo QUESTO test (all servece ports), risultano essere tutte closed invece dui stealth (cosa che accadeva con la vecchia configurazione)
???

l'output di iptables -L
Codice: Seleziona tutto
:~$ sudo iptables -L
Password:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB LISHED
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 68 81:6999
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4665
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/S YN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Ultima modifica di Thug il lunedì 13 febbraio 2006, 3:13, modificato 1 volta in totale.
Thug
 

Re: configurazione iptables giusta

Messaggioda Thug » lunedì 13 febbraio 2006, 3:23

ultimo aggiornamento:
Codice: Seleziona tutto
iptables -P INPUT  DROP
          iptables -P OUTPUT ACCEPT
     iptables -A INPUT -i lo -j ACCEPT   
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT


Codice: Seleziona tutto
:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 6881:6999
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4665
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

ora quel test mi da le porte stealth...che ne dite?
Thug
 


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti