settare firewall

[lanfre]

ciao
non riesco a capire il significato (neppure dopo attenta googlata!) di :

"block tarffic from reserved addresses on public interfaces"

sto usando firestareter per configurare iptables....cosa faccio attivo il blocco o no?
grazie

[pierba]

Aspettando la risposta di qualcuno con maggior esperienza, credo sia riferito ad una lan con più accessi dall'esterno, quindi bloccherebbe il traffico tra questi.

ciao

[Mizar]

Premetto che non uso firestarte per la configurazione dei firewall, preferisco creare manualmente gli script per la configurazione di iptables.

In ogni caso .... credo che quella opzione son indirizzi riservati voglia intendere gli indirizzi "privati", definiti dallo IANA (Internet Assigned Numbers Authority):

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Nel tuo caso credo sia ininfluente attivare o disattivare quella opzione.

[lanfre]

ciao..siccome ho dei dubbi sul funzionamento del mio firewall...ti dispiacerebbe guardare se l'ho configurato bene
in particolare mi sembra starno che quando eseguo il test sul sito consiglato da firestrter mi dice che tutte le porte sono chiuse anche se qualcuna ll'ho settata aperta
il mio iptable -L è: (mi connetto tramite router e rete configurata con dhcp)

Chain INBOUND (1 references)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
LSI        all  --  anywhere            anywhere

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  10.0.0.2            anywhere            tcp flags:!SYN,RST, ACK/SYN
ACCEPT    udp  --  10.0.0.2            anywhere
ACCEPT    all  --  anywhere            anywhere
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply lim it: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-un reachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachab le
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-requ est
ACCEPT    icmp --  anywhere            anywhere            icmp timestamp-repl y
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r equest
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r eply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
DROP      all  --  anywhere            255.255.255.255
DROP      all  --  anywhere            255.255.255.255
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
LSI        all  -f  anywhere            anywhere            limit: avg 10/min b urst 5
INBOUND    all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Input'

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere            icmp echo-reply lim it: avg 1/sec burst 5
ACCEPT    udp  --  anywhere            anywhere            udp dpt:33434
ACCEPT    icmp --  anywhere            anywhere            icmp destination-un reachable
ACCEPT    icmp --  anywhere            anywhere            icmp host-unreachab le
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r equest
ACCEPT    icmp --  anywhere            anywhere            icmp address-mask-r eply
ACCEPT    icmp --  anywhere            anywhere            icmp source-quench limit: avg 2/sec burst 5
LSI        icmp --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Forward'

Chain LOG_FILTER (5 references)
target    prot opt source              destination

Chain LSI (4 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        tcp  --  anywhere            anywhere            tcp flags:SYN,RST,A CK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:SYN,RST,A CK/SYN
LOG        tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,R ST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      tcp  --  anywhere            anywhere            tcp flags:FIN,SYN,R ST,ACK/RST
LOG        icmp --  anywhere            anywhere            icmp echo-request l imit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP      icmp --  anywhere            anywhere            icmp echo-request
LOG        all  --  anywhere            anywhere            limit: avg 5/sec bu rst 5 LOG level info prefix `Inbound '
DROP      all  --  anywhere            anywhere

Chain LSO (1 references)
target    prot opt source              destination
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            limit: avg 5/sec bu rst 5 LOG level info prefix `Outbound '
REJECT    all  --  anywhere            anywhere            reject-with icmp-po rt-unreachable

Chain OUTBOUND (1 references)
target    prot opt source              destination
ACCEPT    icmp --  anywhere            anywhere
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTAB LISHED
ACCEPT    tcp  --  anywhere            anywhere            tcp dpts:ftp-data:f tp
ACCEPT    udp  --  anywhere            anywhere            udp dpts:20:fsp
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:https
ACCEPT    udp  --  anywhere            anywhere            udp dpt:https
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:domain
ACCEPT    udp  --  anywhere            anywhere            udp dpt:domain
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    udp  --  anywhere            anywhere            udp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:pop3
ACCEPT    udp  --  anywhere            anywhere            udp dpt:pop3
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:smtp
ACCEPT    udp  --  anywhere            anywhere            udp dpt:25
LSO        all  --  anywhere            anywhere

Chain OUTPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  10.0.0.8            10.0.0.2            tcp dpt:domain
ACCEPT    udp  --  10.0.0.8            10.0.0.2            udp dpt:domain
ACCEPT    all  --  anywhere            anywhere
DROP      all  --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP      all  --  anywhere            BASE-ADDRESS.MCAST.NET/8
DROP      all  --  255.255.255.255      anywhere
DROP      all  --  anywhere            0.0.0.0
DROP      all  --  anywhere            anywhere            state INVALID
OUTBOUND  all  --  anywhere            anywhere
LOG_FILTER  all  --  anywhere            anywhere
LOG        all  --  anywhere            anywhere            LOG level info pref ix `Unknown Output'



grazie per la pazienza!

[Mizar]

Questo è uno dei motivi per cui non utilizzo firestarter

Ritengo più semplice ed educativo lavorare direttamente con iptables, ad esempio per il firewall del mio notebook ho fatto uno script inserito in /etc/init.d con cui attivo/disattivo il firewall.

Le esigenze sul mio notebook sono minime, in tutto saranno 4-5 comandi.

Posta qualche dato riguardante la tua situazione e ci ragioniamo:

1) Come è organizzata la tua rete ?
2) Fornisci servizi per l'esterno ? Se si, quali ?
3) Altre informazioni che ritieni possano essere utili.

Ciao

[lanfre]

ciao
ti ringrazio per la disponibilità! cercando un po su google mi sono reso conto che firestarter fa tutta da solo...però non ti fa capire cosa fa!
ho provato a interpretare queste regole con l'aiuto di google ma non ne sono venuto a capo, quindi ho deciso di scaricarmi il "manuale" di iptables e cominciare a leggero (altri impegni permettendo!).
appena mi sarò chiarito i principi base di iptables approfitterò della pazienza tua e di tutti!
grazie1000

[Mizar]

Bravo, è l'approccio giusto.

Datti uno sguardo a iptables, non dimenticare anche l'ottimo man iptables e poi possiamo impostare il tuo firewall.

[Thug]

prima di tutto saluto il forum e la comunita' di ubuntu!ho seguito la guida sul wiki per impostare iptables, ma non riesco a capire come fare per poter far funzionare il suddetto firewall automaticamente, senza dover, ad ogni riavvio, dover impostare le regole a mano (alla fine sono poche pero' un po mi scoccia). ovviamente sono un'utente che da pochi giorni usa ubuntu! grazie a tutti e ciao

[Mizar]

prima di tutto saluto il forum e la comunita' di ubuntu!ho seguito la guida sul wiki per impostare iptables, ma non riesco a capire come fare per poter far funzionare il suddetto firewall automaticamente, senza dover, ad ogni riavvio, dover impostare le regole a mano (alla fine sono poche pero' un po mi scoccia). ovviamente sono un'utente che da pochi giorni usa ubuntu! grazie a tutti e ciao

Ti allego lo script che ho creato per attivare/disattivare il mio firewall.
Copialo in /etc/init.d eliminando l'estensione .txt e poi attivalo tramite BUM.

Edit: Per non creare confusione, ho eliminato l'allegato visto che qualche post dopo ne ho ripostato uno nuovo, più completo.

[Thug]

grazie mille! ciao

ps: ho editato il file con le regole...messo in /etc/init.d ma quando apro bum, nella sezione "script di avvio e di chiusura" non lo trovo...non ho capito come attivarlo con BUM! ???

[lanfre]

ciao
mi sono documenteto su come è fatta la mia rete per capire come impostare il firewall:
ho un pc connesso a internet tramite un router ed ho attivato NAT con modalità dynamic NAPT.
cosi facendo dovrei gia proteggere il pc da attacchi originati dall'estarno, se ho capito come funziona il NAT
visto che per ora la mia rete locale è costituita solo dal mio pc mi serve impostare un firewall?
(da quello che ho capito dovrei farlo solo per proteggermi da altri pc locali oppure per impedire che il mio possa usare vari servizi (ad esempio amule))

Ho scritto qualche cavolata??

Grazie

[Mizar]

grazie mille! ciao

ps: ho editato il file con le regole...messo in /etc/init.d ma quando apro bum, nella sezione "script di avvio e di chiusura" non lo trovo...non ho capito come attivarlo con BUM! ???

Non guardare in quella sezione che riguarda gli script di "sistema".
Guarda nella sezione Riepilogo.

Ciao

[Thug]

grazie mille! ciao

ps: ho editato il file con le regole...messo in /etc/init.d ma quando apro bum, nella sezione "script di avvio e di chiusura" non lo trovo...non ho capito come attivarlo con BUM! ???

Non guardare in quella sezione che riguarda gli script di "sistema".
Guarda nella sezione Riepilogo.

Ciao

il mio errore e' stato nel non nominare il file .sh! chiedo venia!

[Mizar]

ciao
mi sono documenteto su come è fatta la mia rete per capire come impostare il firewall:
ho un pc connesso a internet tramite un router ed ho attivato NAT con modalità dynamic NAPT.
cosi facendo dovrei gia proteggere il pc da attacchi originati dall'estarno, se ho capito come funziona il NAT
visto che per ora la mia rete locale è costituita solo dal mio pc mi serve impostare un firewall?
(da quello che ho capito dovrei farlo solo per proteggermi da altri pc locali oppure per impedire che il mio possa usare vari servizi (ad esempio amule))

Il NAT (Network Address Translation) serve a fare in modo che una macchina con indirizzo IP privato (non riconosciuto sulla rete) possa colloquiare con altre macchine.

Essendo tu dietro un router ...... e su una macchina collegata solo a questo, in linea di massima non dovresti avere necessità del firewall, o al massimo impostare il firewall che probabilmente avrai sul router.

Le funzioni di un firewall sono tante, in pratica controllare tutto il traffico in entrata, uscita, passaggio sulle interfacce di rete prendendo decisioni in base a regole che riguardano vari aspetti dei pacchetti: protocollo (TCP UDP ICMP), interfacce di rete, porte di partenza e di arrivo, stato dei pacchetti, indirizzi IP di partenza e destinazione etc ...

Configurando opportunamente un firewall puoi ottenere di usare e collegarti ovunque e non essere visto in rete, cioè un utente esterno che effettuasse una scansione sulle porte della tua macchina la vedrebbe come inesistente.

Ciao

[rocoat82]

stavo utilizzando anch'io il tuo script, ma non essendo un esperto, non riesco a farlo partire,
Non ho capito bene, oltre a copiarlo in /etc/init.d/, che estensione deve avere firewall? devo salvarlo come firewall.sh? e come faccio a farlo partire, BUM non ha informazioni a riguardo dello stato di firewall? dov'è l'errore?
ciauz

[Thug]

stavo utilizzando anch'io il tuo script, ma non essendo un esperto, non riesco a farlo partire,
Non ho capito bene, oltre a copiarlo in /etc/init.d/, che estensione deve avere firewall? devo salvarlo come firewall.sh? e come faccio a farlo partire, BUM non ha informazioni a riguardo dello stato di firewall? dov'è l'errore?
ciauz

si devi nbominarlo firewall.sh poi vai in bum  - riepilogo e cerchi firewall (o come lo hai chiamato) lo selezioni e al riavvio dovrebbe andare. io ho fatto cosi e non ho avuto nessun problema!

PS: ma la prima regola del wiki di ubuntu praticamente consente ad un qualsiasi programma che viene avviato di poter lavorare sulle sue porte senza dover necessarioamente aggiungere ulteriori regole per il programma appena aperto? o in alcuni casi bisogna editarne di nuove? grazie

ciao

[rocoat82]

ho provato come mi hai detto, ma in bum non si vede una mazza! lo vedevo prima quando era file di testo!

[Thug]

ho provato come mi hai detto, ma in bum non si vede una mazza! lo vedevo prima quando era file di testo!

non so che dirti...io non lo vedevo quando era testo mentre lo vedevo con estenzione .sh! ci deve essere qualcosa di strano! ???

[rocoat82]

ok, intanto grazie, proverò a smanettarci un pò, intanto grazie

[rocoat82]

non ce l'ho fatta! :-[
Ho tentato in tutti i modi;
Allora, se copio solo firewall.sh in /etc/init.d/, bum non me lo vede!
L'unico è stato sysconfig, ma anche se l'ho attivato, non funza perchè dando sudo iptables -L non ottengo la chain
dello script! Allora ho controllato anche in /etc/rc2.d/ e ho visto se vi erano i link apposto! Quello di firewall.sh modificato da sysconfig c'era ed iniziava con la lettera S20firewall.sh. Che soluzione alternativa posso adottare, anche manualmente se possibile! Non ho controllato qualcosa d'altro?

Ciauz