settare firewall

[Stealth]

Non è esattamente ciò che chiedi, ma puoi dire al tuo firewall di accettare connessioni esterne solo da una determinata scheda di rete, dandogli il MacAddress

Codice: Seleziona tutto

$IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

l'indirizzo hardware è univoco, e lo ricavi dal comando ifconfig, alla voce "HWaddr"
ciao

[Moratz]

grazie dell'aiuto Stealth..(innanzitutto piacere..di conoscerti..vedendo questo topic ho visto molti post tuoi) (b2b)
ma spiegami una cosa..
premetto che è da poco che sono entrato nel mondo linux per cui ..concedimi qualche Svista..
Ho letto quà e là che iptables lo si può configurare tenendo conto del fatto che le regole sono tutte incatenate tra di loro..per cui penso che la posizione nello script in cui io vado a mettere una regola sia di fondamentale importanza..

Quindi se ho capito bene.. sarebbe

Codice: Seleziona tutto

#################################
        # Abilitazione traffico interno #
        #################################
        $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
        $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
        $IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT  MAcchina 1
        $IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT MAcchina 2

Cioè la cernita là farebbe sul MacAdress (e dovrei inserire tante vole la riga quante sono le schede di rete delle macchine giusto?)

[Stealth]

L'opzione -A serve a dirgli proprio quello, cioè di "appendere" (aggiungerla) la regola che stai inserendo. Puoi così aggiungere la linea in fondo alle tue regole, ad esempio avendo prima vietato tutto ed "appendendo" questa, stai di fatto creando una eccezione al divieto.
Dai un'occhiata a "iptables --help" e a "man iptables", otre alle mille guide che trovi in rete, più o meno spiegano tutto.
Ad esempio:

Codice: Seleziona tutto

Commands:
Either long or short options are allowed.
  --append  -A chain            Append to chain
  --delete  -D chain            Delete matching rule from chain
  --delete  -D chain rulenum
                                Delete rule rulenum (1 = first) from chain
  --insert  -I chain [rulenum]
                                Insert in chain as rulenum (default 1=first)
  --replace -R chain rulenum
                                Replace rule rulenum (1 = first) in chain
  --list    -L [chain]          List the rules in a chain or all chains
  --flush   -F [chain]          Delete all rules in  chain or all chains
  --zero    -Z [chain]          Zero counters in chain or all chains
  --new     -N chain            Create a new user-defined chain
  --delete-chain
            -X [chain]          Delete a user-defined chain
  --policy  -P chain target
                                Change policy on chain to target
  --rename-chain
            -E old-chain new-chain
                                Change chain name, (moving any references)

Questo è un estratto dell'help di iptables, e credo anche che (proprio in questo sterminato post) l'argomento sia già stato affrontato.
ciao e buon lavoro

[Moratz]

Ragazzi non mandatemi sull'acciedenti... :-[
Allora vediamo un poco ho modificato il mio script del firewall (Di Mizar) così..
Ho aggiunto LAN=192.168.0/24 (per specificare quale era la mia lan)
poi alle porte samba e cups ho specificato che i dati devono provenire dalla mia LAN.
Una domanda  :-[ ma la dicitura 0/24 indica tutti gli ip?, perchè è l'unico valore che mi accetta, in quanto se metto 0/60 non me lo prende, in quanto ho macchine win con ip xx.xx.xx.60

Codice: Seleziona tutto

#!/bin/bash
# Firewall personale by Benjamin (Mizar)
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
LAN=192.168.0.0/24
IFEXT="eth0"                    # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)

        #################################
        # Abilitazione traffico interno #
        #################################
        $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
        $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
        $IPTABLES -A INPUT  -p tcp --dport 22 -j ACCEPT
        $IPTABLES -A INPUT  -p tcp -i $IFEXT -s $LAN --dport 631 -j ACCEPT
        $IPTABLES -A INPUT  -p TCP -i $IFEXT -s $LAN --dport 139 -j ACCEPT
        $IPTABLES -A INPUT  -p TCP -i $IFEXT -s $LAN --dport 445 -j ACCEPT
        $IPTABLES -A INPUT  -p UDP -i $IFEXT -s $LAN --dport 137 -j ACCEPT
        $IPTABLES -A INPUT  -p UDP -i $IFEXT -s $LAN --dport 138 -j ACCEPT 

Qusto è il mio iptables -L -vv

Codice: Seleziona tutto

Chain INPUT (policy DROP 86 packets, 23883 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
  434 32716 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
   56 14325 ACCEPT     tcp  --  eth0   any     localnet/24          anywhere            tcp dpt:ipp
  155 21805 ACCEPT     tcp  --  eth0   any     localnet/24          anywhere            tcp dpt:netbios-ssn
    0     0 ACCEPT     tcp  --  eth0   any     localnet/24          anywhere            tcp dpt:microsoft-ds
   17  1428 ACCEPT     udp  --  eth0   any     localnet/24          anywhere            udp dpt:netbios-ns
   22  5110 ACCEPT     udp  --  eth0   any     localnet/24          anywhere            udp dpt:netbios-dgm
   21  7498 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  eth0   any     anywhere             anywhere            state RELATED,ESTABLISHED
   10   949 ACCEPT     udp  --  eth0   any     anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 675 packets, 100K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    lo      anywhere             anywhere 

Che ne dite?
A quanto ho capito (concedetemi un qualche errore, ma per me è complicato..)
In questo modo dovrei aver tutto il traffico inentrata bloccato, (tranne quello della mia rete interna)e l'uscita verso lar ete libera..
Accetto critiche ..consigli...di tutto insomma... ::)

[pippuccio76]

nonostante :
        ########################
        # Apertura porte aMule #
        ########################
        $IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT

kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.

[marklubuntu]

Ciao raga
scusate se la mia potrebbe sembrare la solita intrusione di quello che casca dalle nuvole.
Qualcuno sarebbe in grado di dirmi dove in Ubuntu 6.06.1 sono impostate di default le regole di iptables.
In slackware per esempio , se potesse servire a qualcuno , sono in /etc/rc.d/rc.modules  intorno alla riga 600.
Quello che cerco è una informazione simile.
Pensavo cher invece di creare un nuovo  script , sarebbe più interessante andare a modificare quello già esistente.
Un'ultima domanda cortesemente.
Fino ad ora ho usato iptables in una macchina dedicata ad essere firewall , con una Slackware 10.2 come dicevo prima, con doppia scheda di rete , con regole di FORWARDING per l'attraversamento.
Quello che non capisco è a cosa serve la regola FORWARD in un sistema client con una singola scheda.
Ma il forwarding non è in sostanza il routing, che ci azzecca con i sistemi client?
Grazie per le gentili spiegazioni.

[marklubuntu]

Ok raga
ci sono perfettamente!!
Mentre voi dormivate o facevate tutt'altro con un po' di pazienza mi sono letto l'intero post.
Dopo svariate prove sono riuscito a fare partire in automatico lo script per avviare
la nuova catena di iptables al login grazie  anche agli aiuti di MIZAR e di PTAH che hanno realizzato lo script per il firewall.
Non potendovi ringraziare uno ad uno , ringrazio tutti i partecipanti, in quanto da ognuno ho appreso
nozioni importanti per portare a termine la missione.
Ringrazio in oltre l'autore del topic che ha postato il link a /etc/rcn.d/.....    dello script in questione ora non ricordo il nome , sono anche le sette di mattina , non me ne voglia dunque,  grosso mattone per la riuscita dell'impresa.
Ora non mi resta che controllare il suddetto file e apportare le modifiche che più fanno al mio caso
e quindi ricreare il soft link in /etc/rc2.d/....
Grazie ancora a tutti, è stata una bella esperienza, tanto non avevo sonno.

[djlunare]

Piccola curiosità, il mio linux è in lan tramite il pc windows di mio padre..modem usb con avast come antivirus, ho scaricato da questo post il file " firewall.txt " e l'ho inserito in /etc/init.d  sono anche io con eth0 quindi non ho dovuto cambiare nulla nel file, così mi chiedevo, essendo in lan se avvio il firewall funziona ? o avrò problemi con internet che non funziona più ?

[pippuccio76]

nonostante :
        ########################
        # Apertura porte aMule #
        ########################
        $IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT

kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.

cosa faccio  ???

[Tyler]

Se usi un router devi aprire quelle porte anche sul router, oltre che in iptables.

[orse]

ciao ragazzi, sono alle prime armi con linux e kubuntu 6.06 ho un pc casalingo unico e mi connetto tramite alice con modem ethernet ho cercato di settare iptables leggendo alcuni post di questa discussione ed il risultato che ricevo facendo iptables -L è questo:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

e la connessione sembra che funzioni però ho due problemi ed un paio di curiosità da risolvere
1) allavvio durante il caricamento di boot alla voce firestrarted ricevo failled
2) non riesco più ad utilizzare Gnutella per la condivisione di file
3cosa ne pensate della -L sopra incollata, come posso miglirarla
grazie dell'aiuto

[pippuccio76]

Se usi un router devi aprire quelle porte anche sul router, oltre che in iptables.

Ho un modem ethernet non un router

[Telefo]

nonostante :
        ########################
        # Apertura porte aMule #
        ########################
        $IPTABLES -A INPUT -p tcp -i $IFEXT --dport 4662 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4665 -j ACCEPT
        $IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT

kad è firewalled , cosa faccio ? le porte che uso sono quelle specificate nello script.

cosa faccio  ???

Ti dico come ho risolto io, (Ho anch'io un modem ethernet), aprendo tutte e 3 le porte udp successive alla 4662:

Codice: Seleziona tutto

$IPTABLES -A INPUT -p tcp  -i $IFEXT --dport 4662 -j ACCEPT
	$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4662:4665 -j ACCEPT
	$IPTABLES -A INPUT -p udp -i $IFEXT --dport 4672 -j ACCEPT

così riesco a passare ed ottenere tutt'e due gli id alti!
Tieni conto che la rete Kad ci può mettere un po' prima di accorgersi di non essere più firewalled...
ciao

[pippuccio76]

Fatto ma kad passa da firewallwd a off

[samburu]

Se può essere utile http://www.lowth.com/LinWiz/1.09/ServerFirewall/fw.pl/iptables

[pippuccio76]

Altra soluzione per la rete kad?

[aleandro]

Guarda io ho dovuto fare così:

################################
        # Impostazione Policy standard #
        ################################
        $IPTABLES -P INPUT  ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        #################################
        # Abilitazione traffico interno #
        #################################
        $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
        $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT

        #############################################################################
        # Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
        #############################################################################
        $IPTABLES -A INPUT -p  tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

        ########################
        # Apertura porte aMule #
        ########################
        iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
        iptables -A INPUT -p udp --dport 4665 -j ACCEPT
        iptables -A INPUT -p udp --dport 4672 -j ACCEPT

tratto dallo script di mizar; ho dovuto tuttavia settare tutto su accept anche nel policy standard. Inoltre sul router ho dovuto aprire le porte per e-mule. Non so se ti conviene aprirne più di una per emule in iptables dopo la 4662 come dice telefo. In teoria basta la TCP mentre la UDP restituisce i pacchetti direttamente ma è insicura e non è necessaria.

[AlexSistemiFree]

Posso fare un'osservazione aleandro?
Guardando le tue impostazioni mi è preso un colpo 
Se metti tutto su accept devi mettere dei drop nel firewall in caso contrario è inutile avere un firewall.
Cercherò di essere più chiaro, con le tue impostazioni dici,
accetto tutto ingresso, passaggio,uscita
poi aggiungi che su talune porte abiliti il traffico in entrata solo se relativo a pacchetti in risposta. L'utilità di questa soluzione è minima.
Per come hai configurato adesso il tuo firewall potevi pure evitare di specificare le porte per aMule ...

Riguardo a Kad vi riporto questo link:
http://www.emule.it/guida_emule/guide/g ... demlia.asp
si riferisce ad emule ma la sostanza non cambia.
...
La porta UDP, di default 4672, che dovete aprire sul router o sul firewall insieme alle altre 2 per non essere Firewalled (equivalente ad ID Basso con i server).
Chi utilizza questi programmi saprà essere più preciso di me.

Detto questo, anche io ho dei dubbi, nel mio caso si tratta di altervista, provando il livecd riesco ad effettuare l'upload di dati nel mio sito mentre con il firewall di Mizar no. Se qualcuno ha un'idea.
Al limite apro un topic apposito relativo a tale problema.

Ciao Ale

Nota:
Per quanto sia divertente modificare le regole di un firewall certe modifiche sono disastrose ... e le mie vogliono essere solo osservazioni nell'intento di imparare un po' tutti, basta veramente poco, per rendere inutile un firewall.

[aleandro]

Non c'è dubbio che impostare il firewall come ho fatto io sia come non averlo ammesso che uno si colleghi con modem. Eppure se metto i due drop al posto giusto la connessione ad internet non funziona più. Onde sono costretto ad usare il firewall del router e per non sovrapporlo a quello del computer lascio tutto aperto. In teoria questo non è un problema se il router costituisce già una barriera sono più che protetto e le uniche porte aperte nel router sono quelle di amule (tcp4662 e udp4672) mentre il mio computer accetta tutto. In effetti le porte aperte per emule di iptables sono superflue ma io ho usato lo script di mizar così come è senza pormi i se ed i però.
Il settaggio che ho va inteso quindi per firewall attraverso router anche se mi rendo conto che sia solo una delle soluzioni possibili. Il problema è che se tolgo il firewall del router allora il firewall di ubuntu settato con tutto in accept non va il che mi risulta assai strano. Devo ancora indagare sulle castronate che ho fatto usando altri scripts che forse hanno cambiato qualche impostazione di sistema.

Per quanto riguarda il kad consiglio di scaricare il file nodes.dat dal seguente sito:

http://www.emule-inside.net/

Alex continua pure in questo 3d così impariamo tutti cose nuove.

[AlexSistemiFree]

aleandro se l'avevi scritto in precedenza, riguardo al fatto che avevi settato il firewall del router io non l'avevo letto, comunque è un utile precisazione.

Per il resto, beh, non sono un mago nemmeno io ... la storia che togliendo il firewall al router e mettendo tutto in accept nel firewall linux non ti funzioni non la capisco. :-\

Del resto ho accennato pure io un mio problemino con altervista (solo ed esclusivamente durante l'upload dei file).  :-\

Ciao Ale