Migliorare configurazione base Iptables

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Ghepus
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 518
Iscrizione: lunedì 11 dicembre 2017, 18:28
Desktop: mate
Distribuzione: Ubuntu 22.04.3 LTS Mate

Migliorare configurazione base Iptables

Messaggio da Ghepus »

Mi date una mano ad ottimizzare e migliorare queste regole di base di IpTables, ed individuare eventuali errori:

Codice: Seleziona tutto

 *filter
:INPUT DROP [5:180]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:syn-flood - [0:0]
# Regole Input
# Firewall SPI
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i icmp --fragment -j DROP
# loopback
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -j ACCEPT
-A INPUT -p tcp -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A INPUT -j LOG --log-prefix "(IN-minimo): "
# -regole-FORWARD-
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A FORWARD -j LOG --log-prefix "(FW-minimo): "
# Regole Output
# Firewall SPI
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A OUTPUT -j LOG --log-prefix "(OUT-minimo): "
# loopback
-A OUTPUT -o lo -j ACCEPT
COMMIT
Grazie :ciao:
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Migliorare configurazione base Iptables

Messaggio da Stealth »

Servono info. Cos'è, un server o un desktop, e quali servizi sarebbero abilitati?
In generale. L'ordine in cui scrivi le regole è importante perchè vengono eseguite in sequenza. Nelle regole di output oltre a "RELATED,ESTABLISHED" devi aggiungere "NEW" altrimenti quella macchna non va in rete neanche per gli aggiornamenti e dietro tua volontà. Sempre in generale e sempre in output potresti quindi scrivere solo la prima riga (oltre a quella relativa a "lo"). Il forward, se non lo usi, puoi disabilitarlo e non serve scrivere regole.
Se fosse un server dovresti abilitare (oltre alle porte dei servizi richiesti) almeno il traffico in entrata dalla lan o da una sua specifica macchina, sempre che il server non abbia monitor e tastiera sempre collegati.
Se invece fosse un desktop che non ha servizi abilitati (installazione di default di ubuntu) puoi anche non configurare alcun firewall.
Vedi anche qui
https://wiki.ubuntu-it.org/Sicurezza/Firewall
Ghepus
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 518
Iscrizione: lunedì 11 dicembre 2017, 18:28
Desktop: mate
Distribuzione: Ubuntu 22.04.3 LTS Mate

Re: Migliorare configurazione base Iptables

Messaggio da Ghepus »

Stealth ha scritto:
mercoledì 13 aprile 2022, 8:32
Servono info. Cos'è, un server o un desktop, e quali servizi sarebbero abilitati?
In generale. L'ordine in cui scrivi le regole è importante perchè vengono eseguite in sequenza. Nelle regole di output oltre a "RELATED,ESTABLISHED" devi aggiungere "NEW" altrimenti quella macchna non va in rete neanche per gli aggiornamenti e dietro tua volontà. Sempre in generale e sempre in output potresti quindi scrivere solo la prima riga (oltre a quella relativa a "lo"). Il forward, se non lo usi, puoi disabilitarlo e non serve scrivere regole.
Se fosse un server dovresti abilitare (oltre alle porte dei servizi richiesti) almeno il traffico in entrata dalla lan o da una sua specifica macchina, sempre che il server non abbia monitor e tastiera sempre collegati.
Se invece fosse un desktop che non ha servizi abilitati (installazione di default di ubuntu) puoi anche non configurare alcun firewall.
Vedi anche qui
https://wiki.ubuntu-it.org/Sicurezza/Firewall
Desktop, al momento nessuno.
Provato così come l'ho scritto funziona ma mi metti il dubbio che possa dare problemi e quindi aggiungo NEW.
Altri utili suggerimenti, in particolare per i log?
:ciao:
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Migliorare configurazione base Iptables

Messaggio da thece »

:ciao:

secondo me le domande dalle quali dovresti partire sono:

- mi serve veramente un firewall personale installato sul PC?
- se SI, perchè?
- se SI, quali sono gli obiettivi che devono perseguire le regole del firewall? Ossia cosa devono fare?

In merito alle regole impostate - assolutamente non sono un esperto di firewall - mi sembrano scritte un pò a casaccio, secondo me quantomeno perchè non hai chiare le risposte alle domande di cui sopra.

Piccolo esempio, prendiamo queste tre regole
Ghepus ha scritto:
mercoledì 13 aprile 2022, 7:23

Codice: Seleziona tutto

:INPUT DROP [5:180]
...
-A INPUT -p udp -j ACCEPT
-A INPUT -p tcp -j ACCEPT
ma perchè? :nono:
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 7 ospiti