configurazione iptables giusta

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Thug

configurazione iptables giusta

Messaggio da Thug »

questa è la mia configurazione per iptables

Codice: Seleziona tutto

 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT 
          iptables -P OUTPUT ACCEPT
          iptables -A INPUT -j DROP
          iptables -I INPUT 7 -i lo -j ACCEPT
va bene, o sarebbe più logica, in questa maniera?

Codice: Seleziona tutto

iptables -A INPUT -j DROP
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT 
          iptables -P OUTPUT ACCEPT
          iptables -I INPUT 7 -i lo -j ACCEPT
grazie

ciao
gil_1
Prode Principiante
Messaggi: 194
Iscrizione: domenica 7 agosto 2005, 21:34

Re: configurazione iptables giusta

Messaggio da gil_1 »

mi piace più la seconda perchè nella prima riga hai escluso dall'essere accettati tutti quelli che non compaiono di segiuto.
Thug

Re: configurazione iptables giusta

Messaggio da Thug »

perdonami, sono parecchio niubbo :)
intendi che con la seconda configurazione le porte ache si aprono dopo la seconda linea mi rimarranno cmunque bloccate?

PS: io per ora sto usando la prima. ma mi hanno detto che la polici di drop per l'input va messo all'inizio. sto cercando dei pareri :)
grazie!!
gil_1
Prode Principiante
Messaggi: 194
Iscrizione: domenica 7 agosto 2005, 21:34

Re: configurazione iptables giusta

Messaggio da gil_1 »

Mi spiego meglio.
Di defoult tutte le porte sono aperte, quindi non ha senso indicare solo quelle da aprire perchè comunque sono tutte aperte.
Perciò si usa dire al firewall "blocca tutte le porte tranne quelle esplicitamente permesse"
quindi "DROP" su tutte le porte come nella prima riga secondo esempio.
Poi si elencano le porte che si volgiono lasciar aperte come nelle righe successive del secondo esempio.

Qui vedo che hai dato alcune regole se sei alle prime armi sei sicuro che queste regole rispecchino esattamente quello che vuoi dal firewall? Sei stato restrittivo ed hai dato comandi molto specifici. Io non so cosa vuoi fare e non conosco la tua rete. Prima di applicarle controlla che soddifino le tue esigenze. Ti dico questo perchè alcuni programmi di uso comune verrbbero bloccati.
ciao
Mizar
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3325
Iscrizione: giovedì 17 febbraio 2005, 16:09
Località: Mola di Bari
Contatti:

Re: configurazione iptables giusta

Messaggio da Mizar »

E' buona norma, quando si configura un firewall come prime regole definire le policy standard per le diverse catene quindi:

Codice: Seleziona tutto

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
succesivamente abilitare il traffico locale, sull'interfaccia lo

Codice: Seleziona tutto

iptables -A INPUT -i lo -j ACCEPT
abilitare il traffico di ritorno:

Codice: Seleziona tutto

iptables -A INPUT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
e poi definire le regole per consentire il traffico in ingresso in relazione ai servizi che vuoi attivare sulla tua macchina.

Quali servizi vuoi attivare ?
Benjamin
Thug

Re: configurazione iptables giusta

Messaggio da Thug »

risposta generale (scusate ma solo ora mi sono accorto che avete rispost, non ho avuto nessuno notifica email...)

a casa non ho una rete, ma un banalissimo pc desktop.a parte le regole per amule e client torrent per il resto non ho notato nessun tipo di problema. uso (oltre ai due prog di p2p): amsn, xchat, skype (non funziona, ma per problemi audio)e cups (non so se c'entra). forse non avevo nessun problema proprio per come ho configurato il firewall? ovvero che avevo lo stesso tutte le porte aperte? eppure con degli scan online anche con la prima configurazione risultava tutto chiuso.

domani provo mettendo la policy all'inizio e vi faccio sapere.
grzie mille

ciao
Ultima modifica di Thug il lunedì 13 febbraio 2006, 2:11, modificato 1 volta in totale.
Thug

Re: configurazione iptables giusta

Messaggio da Thug »

ho cambiato in questa versione

Codice: Seleziona tutto

iptables -P INPUT -j DROP
           iptables -P OUTPUT ACCEPT
	  iptables -A INPUT -i lo -j ACCEPT	
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT 
eppure se eseguo QUESTO test (all servece ports), risultano essere tutte closed invece dui stealth (cosa che accadeva con la vecchia configurazione)
???

l'output di iptables -L

Codice: Seleziona tutto

:~$ sudo iptables -L
Password:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTAB LISHED
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 68 81:6999
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4665
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/S YN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Ultima modifica di Thug il lunedì 13 febbraio 2006, 3:13, modificato 1 volta in totale.
Thug

Re: configurazione iptables giusta

Messaggio da Thug »

ultimo aggiornamento:

Codice: Seleziona tutto

iptables -P INPUT  DROP
          iptables -P OUTPUT ACCEPT
	  iptables -A INPUT -i lo -j ACCEPT	
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A INPUT -p tcp -m multiport --dports 6881:6999 -j ACCEPT
          iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
          iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
          iptables -A INPUT -p udp --dport 4665 -j ACCEPT
          iptables -A INPUT -p udp --dport 4672 -j ACCEPT 

Codice: Seleziona tutto

:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            multiport dports 6881:6999
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4665
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4672

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
ora quel test mi da le porte stealth...che ne dite?
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti