settare firewall

[aleandro]

errata corrige: scusa volevo dire che se tolgo il firewall del router e metto i due drop suggeriti allora non mi funziona più la connessione internet. Se è tutto su accept evidentemente funziona.
Tieni conto però che ho smanettato alla grande e forse mi è andato fuori di testa qualche opzione di sistema. Ognimodo basta avere una barriera da qualche parte per arginare eventuali attacchi. Mi sarebbe piaciuto averla su ubuntu per giocarci un attimo ma si vedrà alla prossima installazione oramai.

[AlexSistemiFree]

Se metti i due drop per "non ti funziona più la connessione internet" indendi kad? Vero? In ogni modo potresti provare, anche se è un modo grossolano, a mettere su drop input mentre su accept il forward.

Ciao Ale

Nota:
Dimmi se ti funziona e poi si affinerà il forward.

[pippuccio76]

Fatto stà che passo da firewalled a off  >:(

[AlexSistemiFree]

Altro tentativo sul router configura il forwarding per la porta kad.
Mentre sul firewall lascia input a drop, forward su accept, output su accept.

Ciao Ale

Nota:
Dovrebbe andare ...

Ah un'altra cosa, se non l'hai già fatto, assegna un ip statico al tuo pc.

[pippuccio76]

ho un modem non un router

[aleandro]

Grazie alex, effettivamente ora funziona se metto i due drop di input e forward ma è la prima volta che funziona. Non capisco come mai ma ora va anche lo script di mizar. Meglio così.
Devo avere cambiato qualche opzione del router probabilmente ma non mi ricordo cosa...
Ognimodo come hai indicato funziona, per cui terrò l'impostazione così oltre al firewall del router.


Non capisco bene il tuo problema con altervista. Non è magari che è un problema temporaneo di altervista?

Edit: confermo invece che mettendo i due drops (basta quello sull'input in realtà) non mi si connette a internet, nemmeno tirando via il firewall del router... non avevo fatto il restart dello script e quindi me ne sono accorto al boot che nemmeno internet funzionava. Purtroppo non capisco più una mazza.

[AlexSistemiFree]

Tutto è bene quello che finisce bene.

Ciao Ale

Nota:
Riguardo al mio problema con altervista ho provato in giorni diversi ed ore diverse senza risultato.
Ho provato a distanza di pochi minuti, con e senza firewall, senza firewall funziona.
Se altri utenti usano quel servizio magari mi sapranno dare una mano. :-\

[jinleo]

Un saluto a tutti prima di tutto.
Ho fatto un piccolo test, lasciando  inalterata la  configurazione iniziale di iptables ossia:

Chain INPUT (policy ACCEPT)
target    prot opt source              destination       

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination       

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

ho provato a testare la sicurezza del pc su www.pcflank.com,  ho provato con Advanced Port Scanner e Exploits Test e con stupore ho notato che tutti i test hanno dato esiti positivi  . Allora mi sono posto una domanda ma in modo predefinito il firewall non doveva lasciare passare tutto ? in base alle politiche  cosi definite dovrebbe consentire tutto il  traffico ???.

ciao

[AlexSistemiFree]

Non conosco quel test, se sia valido o meno, forse è rivolto principalmente al mondo windows quindi molte cose non sono evidenti.

Comunque ti confermo che in quel modo è come non avere un firewall dato che lasci passare tutto il traffico.

Ciao Ale

[ryuujin]

Comunque ti confermo che in quel modo è come non avere un firewall dato che lasci passare tutto il traffico.

in quel modo il il kernel lascia passare tutto fino a userspace, ma se in userspace non c'e' nessun programma/demone/servizio in ascolto le connessioni non avvengono (e il kernel risponde con RST a chi ha inviato il SYN).

Il firewall non e' tanto utile a impedire l'accesso, ma a consentirlo con determinate policy.

r.

[AlexSistemiFree]

Mi faresti un esempio di un sistema del genere?

Ciao Ale

Nota:
Non si tratta di una battuta ma dato che pensavo che un simile sistema non esistesse se mi dai qualche indicazioni mi faccio le idee più chiare.

Riporto un link della guida iptables for dummies (tradotto in italiano) relativo all'utilità di un firewall.

[AlexSistemiFree]

Già che ci sono espongo il mio problema sull'upload di file via ftp.
Il problema risiede nella catena di input.
Prima soluzione (orrenda!).
$IPTABLES -P INPUT  ACCEPT

Sono riuscito a risolvere il problema grazie all'aiuto di linuxquestions in sostanza il problema risiedeva nel consentire il passaggio a icmp.

Ciao Ale

[Telefo]

Mi chiedo se sì può integrare lo script che serve per l'ip_forward quello tipo

Codice: Seleziona tutto

echo '1' > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

all'interno dello script di mizar per averne uno solo d avviare che gestisce iptables. Secondo voi basta aggiungere la riga (con le opportune variazioni -tipo ppp0 $ifext ecc..) o va modificato anche in altre parti?

[thaypan]

Dopo aver letto tutte e 13 le pagine di questa discussione, mi chiedo se alla fine non è meglio mettere un allegato completo con amule e bittorrent???

Un altra cosa come posso aggiungere al codice di Mizar le regole per far bloccare a iptables determinati IP provenienti da una lista o da una pagina web?

[BarryLyndon]

perchè quando cerco di copiare lo script di Mizar in /etc/init.d mi dice che non ho i permessi per copiarlo li?

[AlexSistemiFree]

BerryLyndon in Ubuntu operi come utente non amministratore mentre quando tenti di copiare lo script in /etc/init.d/ devi esserlo.
In sostanza o entri da console e fai:
sudo cp firewall.sh /etc/init.d/
oppure, tramite interfaccia grafica,
sudo nautilus

thaypan in questo topic esiste già la soluzione al tuo problema anche se mi rendo conto che in topic così grandi è più facile confondersi.
Te l'ho postato come desideravi, dovrebbe essere ok.
Devi però pure leggerti questo per consentire l'upload dal tuo computer devi agire sul tuo router ed aprire una porta.

Ciao Ale

[thaypan]

BerryLyndon in Ubuntu operi come utente non amministratore mentre quando tenti di copiare lo script in /etc/init.d/ devi esserlo.
In sostanza o entri da console e fai:
sudo cp firewall.sh /etc/init.d/
oppure, tramite interfaccia grafica,
sudo nautilus

thaypan in questo topic esiste già la soluzione al tuo problema anche se mi rendo conto che in topic così grandi è più facile confondersi.
Te l'ho postato come desideravi, dovrebbe essere ok.
Devi però pure leggerti questo per consentire l'upload dal tuo computer devi agire sul tuo router ed aprire una porta.

Ciao Ale

GRAZIE ALE!!!

1 Questo è completo? Con amule e azureus?
2 per indicare le blacklist che iptables deve bloccare devo inserire in questo allegato il percorso?

[AlexSistemiFree]

Si è completo ma se usi porti diverse devi cambiarlo.
E' un file testuale puoi aprirlo facilmente.

Ciao Ale

Nota:
Ancora non ho usato black list, ma sono certo che altri ti sapranno dire qualcosa.

[Daven72]

Sono un po' alle prime armi, ma ho letto questa interessantissima discussione e ho provato a fare ciò che Mizar consiglia.
Ho scaricato il file firewall.txt, lo rinominato firewall.sh gli ho dato i diritti 755 di esecuzione e lo copiato in /etc/init.d

A questo punto ho provato a fare quel banalissimo comando "sudo /etc/init.d/firewall.sh start" e non so perchè mi dice che non trova il file (il msg preciso non lo ricordo), come se non potesse lanciarlo. Ho anche controllato lo stato dei permessi che conferma il tutto.
Perchè non va?  >:( >:( >:(   
(addirittura lo trova BUM ma ovviamente quando lo attivo e faccio il reboot non entra in funzione)

Qualche consiglio ?

[Stealth]

Riprova a lanciarlo con il comando start, e postaci qui il messaggio di errore. La distinzione tra "non lo trovo" e "non posso lanciarlo" non è irrilevante.
Apri anche nautilus, e verifica che il file sia effettivamente presente in /etc/init.d, che si chiami davvero con quel nome e che abbia "preso" i permessi di esecuzione.
ciao