settare firewall

[nizar]

non so cosa dirti, a me sembra a posto  ???
comunque la riga è questa

Codice: Seleziona tutto

   if [ $IFACEIP = $LO ] ; then  

[Ptah]

hum hum hum...che *Buntu usi?
Ubuntu, Kubuntu, Xubuntu...ho notato che ci sono piccole differenze nel modo in cui vengono interpretati gli script...
Dall'errore che ti appariva potresti provare a levare gli spazi intorno al segno "=" oppure prova a levare il "punto e virgola"...insomma sperimenta un pochinino...

[nizar]

Ho tolto gli spazi e ho creduto fosse partito
questo

Codice: Seleziona tutto

nicola@rockbottom:~$ sudo /etc/init.d/firewall.sh start
Attivazione Firewall:    nicola@rockbottom:~$ 

ho pensato dipendesse dalla mancanza di un echo "ok", infatti dopo

Codice: Seleziona tutto

nicola@rockbottom:~$ sudo /etc/init.d/firewall.sh start
Attivazione Firewall:    ok

ma facendo una scansione su grc ho visto che non funziona, ho tutte le porte chiuse, iptables -L mi dà

Codice: Seleziona tutto

nicola@rockbottom:~$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere       

è normale?

dimenticavo, uso ubuntu feisty

[mieicodici]

cut

L'importante è assegnare i permessi 755 al file in /etc/init.d

In ogni caso, riposto uno script per il firewall un po' più completo:
Ho aggiunto una opzione per mostrare lo stato attuale, richiamabile con: /etc/init.d/firewall status
Ho aggiunto anche 3 regole di base per consentire tutto il traffico in uscita e il traffico in risposta.
Ho aggiunto il display dei messaggi in relazione al comando impartito.

Attenzione al fatto che con questo modo, la macchina è invisibile su internet ..... potete verificarlo con dei test con nmap impartiti dall'esterno sulla vostra macchina. Tentativi di accesso dall'esterno alla macchina la fanno apparire come inesistente, pur consentendo l'utilizzo di qualsiasi servizio esterno da parte della macchina.
cut

Scusate se mi intrometto... ma vorrei anche io usare iptables con questo script.
e volevo sapere se avevo fatto tutto bene

Ho scaricato il file di Mizar,
l'ho messo nella cartella /etc/init.d
al mio file (per renderlo eseguibile) gli ho dato da terminale questo comando
sudo chmod a+rwx /etc/init.d/firewall.txt

poi devo fare null'altro???

Poi come faccio a testarlo (oltre ad andare nei due siti di test sul web?)

ciao e grazie anticipatamente
Codici Miei

p.s. uso ubuntu 7.04

[topo.ap]

innanzitutto devi levare l'estensione .txt e lasciare solo firewall... per testare controlla con sudo iptables -L se lo hai attivato....
per attivarlo sudo /etc/init.d/firewall start

[mieicodici]

ti ringrazio molto Topo.ap, in quanto nel frattempo ho anche imparato come si rinomina un file tramite terminale  ::)

l'ho fatto partire, ho controllato e ho queste regole
Chain INPUT (policy DROP)
target    prot opt source              destination       
ACCEPT    0    --  anywhere            anywhere           
ACCEPT    tcp  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    icmp --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    udp  --  anywhere            anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination       

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination       
ACCEPT    0    --  anywhere            anywhere       

purtroppo, al momento ho visto che non riesco a navigare, ma ora mi vado a vedere  come modificarlo per Http (e se non erro, nei primi post c'era qualcuno che l'aveva anche detto 

ciao e grazie

Codici Miei

p.s. ho una connessione tramite rete, come modem ho il disco volante di alice  (gate mi sembra che si chiami)
Ho esigenze minime di navigare su internet tramite browser, utilizzo e scarico tramite amule e bit torrent, vorrei usare  amsn ma ancora non l'ho installato
ftp http ssh

[mieicodici]

Aggiornamento:
dopo aver installato l'ultima versione di Ubuntu, la 6.10.
finalmente funziona lo script di Mizar. ( ho fatto dei test e le porte risultano tutte stealth )
l'unica  cosa per farlo funzionare ho dovuto mettere ppp0 al posto di eth

Codice: Seleziona tutto

IFEXT="ppp0"			# Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

sarà colpa del modem della telecom ?
l'ho installato seguendo questo messaggio:

Ciao , il D-Link 302t della Telecom è taroccato come tutti i modem che la telecom da' in comodato gratuito,ovvero il firmaware è modificato in modo che l'utente non possa modificare la configurazione ...,puo' essere usato solo come "bridge llc".
Per altre informazioni cerca con Google la dlinkpedia .
Per quanto riguarda la connessione,dal menu' sistema-amministrazione-gestione reti,seleziona eth0,disattivala e poi riattivala,scegli di configurarla con ip statico (non DHCP),e assegna come ip 192.168.1.2,la riga sotto col tab si setta automaticamente(eventualmente metti 255.255.255.0) come gateway metti l'ip del modem ossia 192.168.1.1  .
ripeti $sudo pppoeconf e metti i tuoi dati rispondendo sempre si alle domande.
Come root edita poi /etc/resolv.conf e come dns metti l'ip del modem ossia 192.168.1.1.
Se vuoi puoi controllare /etc/network/interfaces , come da link
http://forum.ubuntu-it.org/viewtopic.php?t=21144
Hope this helps.
Ciao Andrea  Smiley

Ciao

Gentili utilizzatori del modem alice gate, seguite questo post e riuscirete a navigare.
Infatti ho provato a cambiare etho0 con ppp0 e tutto è ora ok.
un ultima domanda, ma per fare partire automaticamente il firewall che cosa devo fare???

ciaoooooo

Codic Miei

[basettoni]

Che io sappia parte già in automatico appena avvii ubuntu in ogni caso puoi sempre controllare con il comando :                          sudo iptables -L, e da lì vedi se lo script funziona o meno.

[calz]

come si può aprire l'input per la rete kadu di amule-adunanza.
attualmente questo è il mio firewall dallo script di mizar

Codice: Seleziona tutto

#!/bin/bash
#
# Firewall personale by Benjamin (Mizar)
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT="eth0"			# Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
	########################
	# Attivazione Firewall #
	########################
        echo -n "Attivazione Firewall:    "

	#################################
	# Caricamento Moduli del Kernel #
	#################################
	modprobe ip_tables
	modprobe iptable_nat
	modprobe ip_conntrack
	modprobe ip_conntrack_ftp
	modprobe ip_nat_ftp
	modprobe ipt_LOG
	modprobe ipt_MARK
	modprobe ipt_MASQUERADE
	modprobe ipt_REDIRECT
	modprobe ipt_REJECT
	modprobe ipt_TOS
	modprobe ipt_limit
	modprobe ipt_mac
	modprobe ipt_mark
	modprobe ipt_multiport
	modprobe ipt_state
	modprobe ipt_tos
	modprobe iptable_mangle

	############################
        # Reset delle impostazioni #
	############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

	################################
        # Impostazione Policy standard #
	################################
        $IPTABLES -P INPUT   DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT  ACCEPT

	#################################
	# Abilitazione traffico interno #
	#################################
	$IPTABLES -A INPUT  -i $IFLO -j ACCEPT
	$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
	$iptables -A INPUT -p tcp --dport 80 -j ACCEPT
	$iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
	$iptables -A INPUT -p udp --dport 4672 -j ACCEPT
	$iptables -A INPUT -p tcp --dport 4665 -j ACCEPT

	#############################################################################
        # Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
	#############################################################################
        $IPTABLES -A INPUT -p  tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

        echo "ok"
	;;

  stop)
	###########################
        # Disattivazione Firewall #
	###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT   ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
	;;

  status)
	##############################
        # Display stato del Firewall #
	##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
	;;

  restart|reload)
        $0 stop
        $0 start
	;;

  *)
	echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
	exit 1
	;;

esac

exit 0

se stoppo lo script la rete kadu di amule-adunanza va su ok.
se attivo il firewall la rete kadu va su firewalled.

grazie.

[mieicodici]

Che io sappia parte già in automatico appena avvii ubuntu in ogni caso puoi sempre controllare con il comando :                          sudo iptables -L, e da lì vedi se lo script funziona o meno.

Grazie 1000 commissario Basettoni  infatti ho visto che funzia con il comando sudo iptables -L

Ciao Codici Miei

[mieicodici]

come si può aprire l'input per la rete kadu di amule-adunanza.
attualmente questo è il mio firewall dallo script di mizar
cut cut

se stoppo lo script la rete kadu di amule-adunanza va su ok.
se attivo il firewall la rete kadu va su firewalled.

grazie.

che io sappia la rete kad è su porta 4672,
da quello che vedo dallo script hai la porta abilitata
$iptables -A INPUT -p udp --dport 4672 -j ACCEPT

però d+ non so 

Ciao Codici miei

[sbubba]

salve
avevo scaricato lo script per il firewall da qua per impostare le porte di amule
ora vorrei impostarle per ktorrent, ho aggiunto ste righe così, ho fatto bene?

Codice: Seleziona tutto

	#####################################################
        # Abilitazione del traffico in entrata per ktorrent #
	#####################################################
        $IPTABLES -A INPUT -p udp --dport 4444 -j ACCEPT 
        $IPTABLES -A INPUT -p udp --dport 6881 -j ACCEPT  

[SuperNoa]

Allora ragazzi, per far funzionare lo script di Mizar ho dovuto inserire nello script oltre all'interfaccia di rete "eth0" attraverso la quale sono collegato ad internet, anche l'interfaccia "ppp0" !
Sono connesso ad internet tramite una connessione alice ed un modem D-link 302T collegato ad una porta ethernet a 100 Mbps (la eth0), ma se nello script abilitavo il traffico in entrata solo all'interfaccia "eth0" non riuscivo a navigare, infatti per navigare ho dovuto  configurare nello script anche l'interfaccia ppp0, qualcuno saprebbe darmi qualche informazione relativamente all'interfaccia ppp0, ho letto qualcosa nello wiki, e mi sembra di aver capito che questa interfaccia sia relativa ai modem ADSL con PPPoE ("Point-to-Point Protocol over Ethernet"), ma non ho trovato altro!

Questo è l'output restituito dal comando "ifconfig -a" :

Codice: Seleziona tutto

antonello@ubuntu:~$ sudo ifconfig
eth0      Link encap:Ethernet  HWaddr 00:11:2F:23:34:A3  
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::211:2fff:fe23:34a3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13569 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10528 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:16243508 (15.4 MiB)  TX bytes:1297994 (1.2 MiB)
          Interrupt:16 Base address:0x6000 

eth1      Link encap:Ethernet  HWaddr 00:11:2F:24:87:B5  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:19 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:100 errors:0 dropped:0 overruns:0 frame:0
          TX packets:100 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:7226 (7.0 KiB)  TX bytes:7226 (7.0 KiB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:87.1.33.195  P-t-P:192.168.100.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:13118 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10026 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:15864774 (15.1 MiB)  TX bytes:1018274 (994.4 KiB)

Mi postate qualche link per effettuare qualche test sul firewall, così da verificarne la robustezza? tks

[SuperNoa]

Domanda -s 0/0 non è un istruzione ridondante?

Codice: Seleziona tutto

$IPTABLES -A INPUT -p  tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

quindi non si ha lo stesso effetto togliendola? 

Codice: Seleziona tutto

$IPTABLES -A INPUT -p  tcp -i $IFEXT -m state --state ESTABLISHED,RELATED -j ACCEPT

E' solo una curiosità, qualcuno sà  soddisfarmela?

[katapulta]

Mi postate qualche link per effettuare qualche test sul firewall, così da verificarne la robustezza? tks

Eccone un paio:      http://www.pcflank.com/scanner1.htm
                                https://www.grc.com/x/ne.dll?bh0bkyd2

[SuperNoa]

Mi postate qualche link per effettuare qualche test sul firewall, così da verificarne la robustezza? tks

Eccone un paio:      http://www.pcflank.com/scanner1.htm
                                https://www.grc.com/x/ne.dll?bh0bkyd2

Grazie! Tutte le porte sono Stealth nei test di entrambi i siti! 

[sbubba]

Quello script è stato creato per essere inserito in /etc/init.d in modo da essere linkato nei vari runlevel alla pari degli altri script.

Se lo attivi con un tool come BUM, al boot verrà avviato con il parametro start e allo shutdown fermato con il parametro stop.

Da linea di comando puoi lanciarlo, dopo averlo inserito in /etc/init.d ed averlo reso eseguibile con:

Codice: Seleziona tutto

sudo chmod 755 /etc/init.d/firewall

Le possibilità di lancio sono:

Codice: Seleziona tutto

sudo /etc/init.d/firewall start

per farlo partire,

Codice: Seleziona tutto

sudo /etc/init.d/firewall stop

per fermarlo,

Codice: Seleziona tutto

sudo /etc/init.d/firewall restart

o

Codice: Seleziona tutto

sudo /etc/init.d/firewall reload

per farlo farlo ripartire,

Codice: Seleziona tutto

sudo /etc/init.d/firewall status

per farti stampare sul terminale l'impostazione attuale.

perchè a me non funziona?

Codice: Seleziona tutto

speppa@sbubbo:/etc/init.d$ ./firewall-amule
Utilizzo: firewall {start|stop|restart|reload|status}
speppa@sbubbo:/etc/init.d$ firewall status
bash: firewall: command not found

[paper0k]

Codice: Seleziona tutto

[quote="sbubba"]
perchè a me non funziona?
[code]speppa@sbubbo:/etc/init.d$ ./firewall-amule
Utilizzo: firewall {start|stop|restart|reload|status}

[/quote]
Prova così

Codice: Seleziona tutto

speppa@sbubbo:/etc/init.d$ ./firewall-amule start

[quote="sbubba"]
speppa@sbubbo:/etc/init.d$ firewall status
bash: firewall: command not found
[/code]
[/quote]

Codice: Seleziona tutto

speppa@sbubbo:/etc/init.d$ ./firewall-amule status

[sbubba]

Codice: Seleziona tutto

[quote="sbubba"]
perchè a me non funziona?
[code]speppa@sbubbo:/etc/init.d$ ./firewall-amule
Utilizzo: firewall {start|stop|restart|reload|status}

Prova così

Codice: Seleziona tutto

speppa@sbubbo:/etc/init.d$ ./firewall-amule start

speppa@sbubbo:/etc/init.d$ firewall status
bash: firewall: command not found
[/code]

Codice: Seleziona tutto

speppa@sbubbo:/etc/init.d$ ./firewall-amule status

[/quote]
aaah grazieeeeee
avevo provato con ./firewall status e con ./firewall-amule ma nn funzionava
grazie 

[topo.ap]

ciao ragazzi.... vorrei mettervi davanti un firewall che ho trovato negli how-to in giro per la rete....
premetto che ho sempre utilizzato mizar con qualche modifica di path e mi sono sempre trovato bene.... ma andando su shields up nn riuscivo mai a passare i test... praticamente risultavo tutto chiuso con la sola porta 53 aperta...
io ho una connessione ethernet con pppo (alice enterprise nero) ubuntu 7.04....
da quando ho trascritto questo iptables riesco a passare tutti i test risulto introvabile con le porte 1-1053 tutte stealth.... dateci un'occhiata anche voi o solo aggiunto le porte per il mulo ma nn sò se lavorano bene come tutto il resto..........

Codice: Seleziona tutto

#!/bin/bash

# Firewall 
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT="ppp0"		# Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
	########################
	# Attivazione Firewall #
	########################
        echo -n "Attivazione Firewall:    "

	#################################
	# Caricamento Moduli del Kernel #
	#################################
	modprobe ip_tables
	modprobe iptable_nat
	modprobe ip_conntrack
	modprobe ip_conntrack_ftp
	modprobe ip_nat_ftp
	modprobe ipt_LOG
	modprobe ipt_MARK
	modprobe ipt_MASQUERADE
	modprobe ipt_REDIRECT
	modprobe ipt_REJECT
	modprobe ipt_TOS
	modprobe ipt_limit
	modprobe ipt_mac
	modprobe ipt_mark
	modprobe ipt_multiport
	modprobe ipt_state
	modprobe ipt_tos
	modprobe iptable_mangle

	############################
        # Reset delle impostazioni #
	############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        ########################
        # Apertura porte aMule #
        ########################
        $IPTABLES -A INPUT -p tcp --dport 4662 -j ACCEPT
        $IPTABLES -A INPUT -p udp --dport 4665 -j ACCEPT
        $IPTABLES -A INPUT -p udp --dport 4672 -j ACCEPT

        
        ## Crea una catena che blocchi le nuove connessioni, eccetto quelle provenienti dall'interno.
        $IPTABLES -N block
        $IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT 
        $IPTABLES -A block -m state --state NEW -i ! ppp0 -j ACCEPT
        $IPTABLES -A block -j DROP

        ## Dalle catene INPUT e FORWARD salta a questa catena
        $IPTABLES -A INPUT -j block
        $IPTABLES -A FORWARD -j block



        echo "ok"
	;;

  stop)
	###########################
        # Disattivazione Firewall #
	###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT   ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
	;;

  status)
	##############################
        # Display stato del Firewall #
	##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
	;;

  restart|reload)
        $0 stop
        $0 start
	;;

  *)
	echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
	exit 1
	;;

esac

exit 0