Installato firestarter ma una volta attivato il firewall non riesco + a navigare

[Esorcista]

L'ho installato ma come da titolo, con le impostazioni predefinite, mi si blocca l'accesso ad internet. Uso una connessione adsl ethernet configurata automaticamente da Ubuntu in fase di installazione

[pierba]

Questo: http://wiki.ubuntu-it.org/IpTablesHowTo ... ptables%29 dovrebbe aiutarti.

ciao

[Esorcista]

Grazie mille.
Edit: non esiste qualcosa di + specifico per firestarter? Oppure se potete consigliarmi qualche altro programma.......grazie mille!

[pierba]

E' specifico per firestarter, questi non è che un tool semplificato che opera con le iptables.

ciao

[lanfre]

ti suggerisco le impostazioni base:
-lancia firestarter e segui il wizard (se sei al primo avvio di firestarter)
-una volta fatto questo devi stabilire le politiche per outbound e inbound dalla scheda "policy"
per la politica di inbound: di default è restircted,ovvero devi abilitare servizi e altre cose te, se no lui blocca tutto.questo settaggio è ok
per la politica di outbounb:scegli "restictive by default" e  abilita DNS, POP3, SMTP, HTTP, HTTPS, FTP, (per fare questo clicca su allow service e poi su add rule)
-clicca poi su edit-----preference e seleziona filtro ICMP scegli "enable ICMP filtering" e seleziona tutto tranne "echo request" e "reidirizzamneto"

ora dovresti poter navigare  scaricare posta e aggiornare ubuntu tramite ftp.Per usare amule o altri servizzi come ssh, bittorren, ecc.... devi permetterli nella politica di outbound e eventualmente in quella di inbound.
per maggiori dettagli vedi http://www.fs-security.com/

ciao
P.S. firestarter è solo una gui per editare regole per iptables!

[Esorcista]

Ho seguito alla lettera quella da te consigliato ma niente! Il firewall non permette nessuna connessione, da gaim a firefox!

[Mizar]

Ho seguito alla lettera quella da te consigliato ma niente! Il firewall non permette nessuna connessione, da gaim a firefox!

Premetto che non uso Firestarter, i firewall li configuro con degli script. In ogni caso, Firestarter è un frontend di iptables (il vero firewall di Linux).

A firewall attivo, da terminale prova a dare questo comando e postare il risultato:

sudo iptables -L

[Esorcista]

Chain INBOUND (1 references)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTABLISHED
LSI        all  --  anywhere            anywhere

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  nsp-ct1.interbusiness.it  anywhere            tcp flags:!SYN,RST,ACK/SYN
ACCEPT    udp  --  nsp-ct1.interbusiness.it  anywhere
ACCEPT    all  --  anywhere            anywhere
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply limit: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-unreachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachable
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-request
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-reply
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-request
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-reply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
DROP      all  --  anywhere            255.255.255.255
DROP      all  --  anywhere            host238-41.pool80181.interbusiness.it
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
LSI        all  -f  anywhere            anywhere            limit: avg 10/min burst 5
INBOUND    all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply limit: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-unreachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachable
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-request
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-reply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info prefix `Unknown Forward'

Chain LOG_FILTER (5 references)
target    prot opt source              destination

Chain LSI (4 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        tcp  --  anywhere            anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:SYN,RST,ACK/SYN
LOG        tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,RST,ACK/RST
LOG        icmp --  anywhere            anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      icmp --  anywhere            anywhere            icmp echo-request
LOG        all  --  anywhere            anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP      all  --  anywhere            anywhere

Chain LSO (1 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT    all  --  anywhere            anywhere            reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:domain
ACCEPT    udp  --  anywhere            anywhere            udp dpt:domain
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:pop3
ACCEPT    udp  --  anywhere            anywhere            udp dpt:pop3
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:smtp
ACCEPT    udp  --  anywhere            anywhere            udp dpt:25
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    udp  --  anywhere            anywhere            udp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:https
ACCEPT    udp  --  anywhere            anywhere            udp dpt:https
ACCEPT    tcp  --  anywhere            anywhere            tcp dpts:ftp-data:ftp
ACCEPT    udp  --  anywhere            anywhere            udp dpts:20:fsp
LSO        all  --  anywhere            anywhere

Chain OUTPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  host238-41.pool80181.interbusiness.it  nsp-ct1.interbusiness.it tcp dpt:domain
ACCEPT    udp  --  host238-41.pool80181.interbusiness.it  nsp-ct1.interbusiness.it udp dpt:domain
ACCEPT    all  --  anywhere            anywhere
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
OUTBOUND  all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info prefix `Unknown Output'

[lanfre]

per gaim se usi protocollo MSN guarda questo:

Ecco a voi la lista delle porte utilizate da MSN Messenger:

1863 TCP (base per lo scambio di messaggi)
Da 6891 a 6900 TCP (scambio file)
6901 TCP (per la voce)
6901 UDP (per la voce)
12352 UDP
14300 TCP
7790 UDP

Per quanto riguarda la porta 1863 TCP x lo scambio dei messaggi va detto ke cmq il Messenger utilizza la connessione del browser x l'invio dei messaggi in caso la porta sia kiusa dal firewall...quindi decidete voi se aprirla o meno.
Poi avrete senz'altro notato le porte dalla 6891 alla 6900 TCP, bene quelle porte servono appunto x lo scambio dei file, ma secondo me 10 porte aperte sono un pò troppe, io nn credo ke invierete 10 file contemporaneamente, quindi io vi consiglio di aprire solo 3 o al max 4 porte..poi decidete voi in base alle vostre esigenze..xò è sempre meglio nn avere troppe porte aperte nella connessione

ciao

[Esorcista]

Grazie! Il problema è che il firewall sembra bloccare qualcunque cosa! Forse mi tocca configurare tutte le porte manualmente.....


ciao

[Esorcista]

Non ci riesco! Il firewall blocca tutto! Per ora navigo senza firewall....in attesa di vostre risposte

[lanfre]

questo è il mio:(ho un router,la rete configurata con DHCP, e mi funziona tutto)

Chain INBOUND (1 references)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
LSI        all  --  anywhere            anywhere

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  10.0.0.2            anywhere            tcp flags:!SYN,RST, ACK/SYN
ACCEPT    udp  --  10.0.0.2            anywhere
ACCEPT    all  --  anywhere            anywhere
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply lim it: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-un reachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachab le
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-requ est
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-repl y
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r equest
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r eply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
DROP      all  --  anywhere            255.255.255.255
DROP      all  --  anywhere            255.255.255.255
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
LSI        all  -f  anywhere            anywhere            limit: avg 10/min b urst 5
INBOUND    all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Input'

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply lim it: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-un reachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachab le
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r equest
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r eply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Forward'

Chain LOG_FILTER (5 references)
target    prot opt source              destination

Chain LSI (4 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        tcp  --  anywhere            anywhere            tcp flags:SYN,RST,A CK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:SYN,RST,A CK/SYN
LOG        tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,R ST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,R ST,ACK/RST
LOG        icmp --  anywhere            anywhere            icmp echo-request l imit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      icmp --  anywhere            anywhere            icmp echo-request
LOG        all  --  anywhere            anywhere            limit: avg 5/sec bu rst 5 LOG level info prefix `Inbound '
DROP      all  --  anywhere            anywhere

Chain LSO (1 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            limit: avg 5/sec bu rst 5 LOG level info prefix `Outbound '
REJECT    all  --  anywhere            anywhere            reject-with icmp-po rt-unreachable

Chain OUTBOUND (1 references)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    tcp  --  anywhere            anywhere            tcp dpts:ftp-data:f tp
ACCEPT    udp  --  anywhere            anywhere            udp dpts:20:fsp
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:https
ACCEPT    udp  --  anywhere            anywhere            udp dpt:https
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:domain
ACCEPT    udp  --  anywhere            anywhere            udp dpt:domain
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    udp  --  anywhere            anywhere            udp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:pop3
ACCEPT    udp  --  anywhere            anywhere            udp dpt:pop3
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:smtp
ACCEPT    udp  --  anywhere            anywhere            udp dpt:25
LSO        all  --  anywhere            anywhere

Chain OUTPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  10.0.0.8            10.0.0.2            tcp dpt:domain
ACCEPT    udp  --  10.0.0.8            10.0.0.2            udp dpt:domain
ACCEPT    all  --  anywhere            anywhere
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
OUTBOUND  all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Output'


prova a darci un occhiata.
a prima vista mi sembra che il tuo sia diverso per quanto riguarda:

DROP      all  --  anywhere            host238-41.pool80181.interbusiness.it

ciao

[Esorcista]

Risolto. Da Preference-frewall-advance ho deselezionato la casella block broadcast from external network.....spero di non aver disabilitato nulla di importante xrò.......(il firewall sembra funzionare visto che l'icona diventa spesso rossa)

[Esorcista]

per gaim se usi protocollo MSN guarda questo:

Ecco a voi la lista delle porte utilizate da MSN Messenger:

1863 TCP (base per lo scambio di messaggi)
Da 6891 a 6900 TCP (scambio file)
6901 TCP (per la voce)
6901 UDP (per la voce)
12352 UDP
14300 TCP
7790 UDP

Per quanto riguarda la porta 1863 TCP x lo scambio dei messaggi va detto ke cmq il Messenger utilizza la connessione del browser x l'invio dei messaggi in caso la porta sia kiusa dal firewall...quindi decidete voi se aprirla o meno.
Poi avrete senz'altro notato le porte dalla 6891 alla 6900 TCP, bene quelle porte servono appunto x lo scambio dei file, ma secondo me 10 porte aperte sono un pò troppe, io nn credo ke invierete 10 file contemporaneamente, quindi io vi consiglio di aprire solo 3 o al max 4 porte..poi decidete voi in base alle vostre esigenze..xò è sempre meglio nn avere troppe porte aperte nella connessione

ciao

Quali sono invece le porte utilizzare per ricevere i file?

[federacchio]

Che porcheria Firestarter 

Fedefiko

[Esorcista]

Che porcheria Firestarter 

Fedefiko

??? ??? ????

[Esorcista]

Che porcheria Firestarter 

Fedefiko

perchè ??? ??? ????

[lanfre]

Premesso che uso shorewall (non sono cosi bravo da permettermi ancora iptables direttamente...ma ci sto studiando!) trovo che firestarter non sia una schifezza.....anzi penso che sia un utile passo verso shorewall e successivamente verso iptables (non scordiamoci che alla fine è sempre quest'ultimo a fare il lavoro!!).
e poi...è meglio avvalersi di un aiuto che configurare iptables a mano e lasciare 1000 buchi! (cosa non improbabile per eterni niubboni come me!)

ciao

[federacchio]

la mia era solo una battuta  ::)
è che detesto gli applicativi di gestione per iptables, in quanto, come avrete notato, sono di difficile interpretazione e l'output a video risulta alquanto disordinato...
Ovviamente io faccio queste valutazioni dovendo usare tutti i giorni iptables da shell 

Federfiko

P.S. Mai provato ad usare Webmin e relativo modulo per iptables?

[lanfre]

per ora no...da webmin configuro shorewall (con alcuni ritocchi a mano!).....quando ho un po di tempo seguirò il tuo consiglio!

ciao  :P