AIUTO PER UNO SCRIPT DI POLITICHE IPTABLES

[ueghio]

ciao a tutti,qualcuno sa come posso creare uno script contenente alcune politiche di iptables? Io ho provato a crearne uno usando questa guida http://www.mrwebmaster.it/linux/guide/p ... t_260.html ma quando do il mio comando

Codice: Seleziona tutto

./iptables_rules.sh

mi viene negato il permesso in quanto non sono root
Queste dovrebbero essere le mie politiche

#!/bin/sh
#pulisci tutto
/sbin/iptables -F

# impostiamo la policy per i pacchetti in ingresso
# bloccando il traffico
/sbin/iptables -P INPUT DROP

# impostiamo la policy per i pacchetti in transito
# tra le interfacce bloccando il traffico
/sbin/iptables -P FORWARD DROP

# impostiamo la policy per i pacchetti in uscita
# abilitando il traffico
/sbin/iptables -P OUTPUT ACCEPT

#consenti traffico interno al pc
/sbin/iptables -A INPUT  -i lo -j ACCEPT

# poi facciamo in modo di accettare i pacchetti in entrata
# che appartengono ad una connessione già esistente
# o che sono correlati a connessioni preesistenti
/sbin/iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

#apri tcp emule
/sbin/iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#apri udp emule
/sbin/iptables -A INPUT -p udp --dport 4672 -j ACCEPT

#apri transmission
/sbin/iptables -A INPUT -p tcp --dport 3000 -j ACCEPT

#apri HTTP
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#apri HTTPS
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#apri udp Samba in ingresso
/sbin/iptables -A INPUT -p udp -m multiport --dports 135,137,138,631 -j ACCEPT

#apri tcp Samba in ingresso
/sbin/iptables -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,631 -j ACCEPT

#apri udp Samba in uscita
/sbin/iptables -A OUTPUT -p udp -m multiport --dports 135,137,138,631 -j ACCEPT

#apri tcp Samba in uscita
/sbin/iptables -A OUTPUT -p tcp -m multiport --dports 135,137,138,139,445,631 -j ACCEPT

grazie mille per la pazienza,un saluto

[badìl]

Dai il comando con sudo.

[ueghio]

allora va gia meglio perche anche se il terminale mi restituisce gavvi@gavvi-notebook:~/iptables_rules$ sudo ./iptables_rules.sh
iptables v1.3.8: Bad state `' se le politiche sembra vengono applicate (lo vedo subito dopo digitando

Codice: Seleziona tutto

sudo iptables -L

)..
solo che poi mi si blocca internet..
Dimentico forse qualcosa nello script?

[ueghio]

questa la situazione dopo aver lanciato il comando:sembrerebbe tutto a posto ma internet continua a non andare
gavvi@gavvi-notebook:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3000
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,ipp
ACCEPT     tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ipp

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,ipp
ACCEPT     tcp  --  anywhere             anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ipp

mentre questo quando do i comandi uno alla volta da terminale:
gavvi@gavvi-notebook:~$ sudo iptables -L
Chain INPUT (policy DROP)
target    prot opt source              destination       
ACCEPT    all  --  anywhere            anywhere           
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:4662
ACCEPT    udp  --  anywhere            anywhere            udp dpt:4672
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:3000
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:https
ACCEPT    udp  --  anywhere            anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,ipp
ACCEPT    tcp  --  anywhere            anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ipp
ACCEPT    all  --  anywhere            anywhere           
ACCEPT    all  --  anywhere            anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination       

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination       
ACCEPT    udp  --  anywhere            anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,ipp
ACCEPT    tcp  --  anywhere            anywhere            multiport dports loc-srv,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ipp

Mancano quelle due righe che ho sottolineato che corrispondono ai comandi
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
che son presenti anche nello script ma che probabilmente non vengono lanciati correttamente..
Hai qualche consiglio?

[badìl]

Non fai prima a creare uno script così e metterlo in /etc/init.d?

Codice: Seleziona tutto

#!/bin/bash
iptables -F
iptables -P INPUT   DROP
iptables -P FORWARD   DROP
iptables -A INPUT  -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -p udp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -A INPUT -p udp --dport 4665 -j ACCEPT



exit 0

Così funziona, lo usavo una volta.
Ovviamente metti le tue regole.

[ueghio]

Ora ci provo,anche se non sono sicurissimo di esserne capace..ci ho messo due ore a fare il mio primo script che era quello che ho postato  :-\

[badìl]

Ma guarda, di differenze col tuo vedo solo che io ho il comando iptables mentre tu /sbin/iptables in realtà, poi mi sembra uguale.  :-\

[ueghio]

E' venuta una cosa così
gavvi@gavvi-notebook:/etc/init.d$ sudo gedit iptables_rules.bash

#!/bin/bash
iptables -F
iptables -P INPUT   DROP
iptables -P FORWARD   DROP
iptables -A INPUT  -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4672 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p udp -m multiport --dports 135,137,138,631 -j ACCEPT
sudo iptables -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,631 -j ACCEPT
sudo iptables -A OUTPUT -p udp -m multiport --dports 135,137,138,631 -j ACCEPT
sudo iptables -A OUTPUT -p tcp -m multiport --dports 135,137,138,139,445,631 -j ACCEPT



exit 0

ma per lanciarlo che comando do?

[badìl]

Hai dato permessi di esecuzione?
Lancialo con

Codice: Seleziona tutto

sudo /etc/init.d/firewall restart

Sempre che tu l'abbia chiamato firewall, altrimenti usa il nome che gli hai dato.

[Ptah]

Prova a dare uno sguardo a quello che ho in firma...è facile, efficiente e se l'ho fatto io vuol dire che ci puoi riuscire anche tu

[Guiodic]

Domanda: questa prove le stai vacendo perché vuoi imparare ad usare iptables?

[ueghio]

@Guiodic sisi ho appena disinstallato firestarter
@Ptah caspita a vederlo prima  :'( domani lo leggo con calma
@badìl grazie del prezioso aiuto,mi ero incasinato commentando ogni riga dello script

Ora che ce l'ho fatta c'è un comando veloce per eseguirlo all'avvio?
PS.Perdonatemi se approfitto della vostra disponibilità

[Guiodic]

@Guiodic sisi ho appena disinstallato firestarter

te lo chiedo perché ubuntu ha ufw che è molto più semplice.

[badìl]

Ora che ce l'ho fatta c'è un comando veloce per eseguirlo all'avvio?

Dovrebbe avviarsi da solo in init.d, confermi Guiodic?

[ueghio]

Ora che ce l'ho fatta c'è un comando veloce per eseguirlo all'avvio?

Dovrebbe avviarsi da solo in init.d, confermi Guiodic?

No ho provato a riavviare..

[ueghio]

Comunque mi reputo soddisfatto..grazie mille per il tuo paziente e prezioso aiuto badìl..Domani proverò a cercare su google il modo di renderlo avviabile,mal che vada bastano due comandi..Ciao e buonanotte  (yes)

[badìl]

Meglio perché lo usavo all'inizio e non mi ricordo più...
Ora non lo uso più il firewall.
notte

[pierba]

Comunque mi reputo soddisfatto..grazie mille per il tuo paziente e prezioso aiuto badìl..Domani proverò a cercare su google il modo di renderlo avviabile,mal che vada bastano due comandi..Ciao e buonanotte  (yes)

Se cerchi in questa sezione trovi moltissime informazioni ed esempi di script funzionanti.

Comunque per avviarlo, come ti hanno gia` detto, lo rendi eseguibile e lo copi in /etc/init.d.
Poi puoi installare bum e con questo spuntarlo per eseguirlo all'avvio del sistema.

ciao

[ueghio]

Ok un grazie anche a pierba,ora il mio firewall è a posto e può partire in automatico all'avvio..
ora non mi resta altro da fare che sbizzarrirmi nel cercare script utili..ciao e a presto!!! 

[ueghio]

te lo chiedo perché ubuntu ha ufw che è molto più semplice.

Guidoic ho bisogno di aiuto,ho provato ufw,mi parte in automatico e lo sto usando senza problemi,mi sai dire come faccio a fargli permettere ii masquerading..cioè vorrei che altri pc con indirizzi statici vengano instradati in internet tramite la mia macchina al comando

Codice: Seleziona tutto

sudo -s -H
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

E' possibile che tu sappia?