settare firewall

[sbubba]

ragazzi, vedo che lo script è del novembre dell'anno scorso.
va bene lo stesso o va aggiornato?

[Ptah]

Non è un programma...l'aggiornamento è dato alle capacità di modifica dell'utente

[sbubba]

eh boh
i firewall sotto windows hanno bisogno di aggiornamenti, credevo anche questo ne avesse bisogno 

[federacchio]

il "firewall" di linux altri non è che un modulo del kernel, non un software a parte...lo script che ti è stato indicato non è altro che una successione di comandi per la creazione di regole di filtraggio per il traffico da, per e attraverso la tua macchina...pertanto un eventuale aggiornamento riguarderebbe il modulo iptables e non lo script in sé...

federico

[sbubba]

ah ecco 
grazie della spiegazione =)

[magistergraius]

ciao ragazzi.... vorrei mettervi davanti un firewall che ho trovato negli how-to in giro per la rete....
premetto che ho sempre utilizzato mizar con qualche modifica di path e mi sono sempre trovato bene.... ma andando su shields up nn riuscivo mai a passare i test... praticamente risultavo tutto chiuso con la sola porta 53 aperta...
io ho una connessione ethernet con pppo (alice enterprise nero) ubuntu 7.04....
da quando ho trascritto questo iptables riesco a passare tutti i test risulto introvabile con le porte 1-1053 tutte stealth.... dateci un'occhiata anche voi o solo aggiunto le porte per il mulo ma nn sò se lavorano bene come tutto il resto..........

Carissimo topo.ap, ho provato il tuo script per due settimane e funziona che è una meraviglia! (good)
Stavo cercando da un po' di tempo qualcosa di valido: effettivamente su tutti i siti mi segnala le porte come stealth! (yes)

Comunque continuo a sperimentare e vi fo sapere!  (b2b)

[topo.ap]

grazie magi, ma nn è opera mia.... l'unica cosa che ho notato è questa... se metto le regole di amule in alto o nel mezzo alle due regole riesco ad avere idalto e kad connesso.... nn è così se metto le stesse regole in fondo.... Chiedo a mizar o path se questo comporta qualche falla nella sicurezza perche settato come l'ho messo supero alla grande tutti i test ma se vado a testare la porta specifica 4662 me la dà chiusa se amule è spento (e nn stealth) e aperta se amule è in funzione...
è tutto normale? grazie a tutti..

[federacchio]

non ho presente lo script, ma come norma generale ti segnalo che le regole vengono lette in maniera sequenziale ossia se il pacchetto "matcha" la regola le successive non vengono considerate.

federico

[topo.ap]

non ho presente lo script, ma come norma generale ti segnalo che le regole vengono lette in maniera sequenziale ossia se il pacchetto "matcha" la regola le successive non vengono considerate.

federico

è appena una pagina indietro....

[paper0k]

Comunque è come quello di Mizar postato nella 2a pagina anzi credo sia lui

[emmedi]

Ho installato la configurazione di Mizard ma nonostante digiti

Codice: Seleziona tutto

sudo sh -c 'echo "1" >/proc/sys/net/ipv4/ip_forward'

non riesco a condividere la connessione con un altro pc.

Il mio pc funge da gateway è ha indirizzo 192.168.1.1 mentre il client 192.168.1.2.

Grazie.

[m4yh3m]

Ciao, sono un novizio, grazie a tutti per gli ottimi contributi.

Avevo firestarter installato, e anche se non lo avevo ridotto ad icona, sapevo che svolgeva egregiamente il proprio compito.
Ieri per caso ho fatto il test https://www.grc.com/x/ne.dll?bh0bkyd2 e ho visto tutte le porte chiuse e solo 6 invisibili (in passato erano tutte invisibili).
Ho notato che firestarter non si avviava più.
Sono arrivato a questo topic e l'ho letto tutto.
Penso sia dovuto al nuovo modem ethernet, un pirelli netgate voip v2 con nat attivato.
Ho attivato lo script di Mizar nella versione modificata di Ptah (prima della divisione in 3 pezzi).
Si, IFEXT="eth0", reso eseguibile, ecc ecc
Ho disattivato firestarter.
Insomma.. non va... firewall parte ma i test online danno risultati negativi.

Codice: Seleziona tutto

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            
icmp_in    icmp --  anywhere             anywhere            
bad_tcp    tcp  --  anywhere             anywhere            
bad_udp    udp  --  anywhere             anywhere            
ok_tcp     tcp  --  anywhere             anywhere            
ok_udp     udp  --  anywhere             anywhere            
LOG        0    --  anywhere             anywhere            LOG level warning prefix `Default drop:' 
DROP       0    --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            

Chain bad_tcp (1 references)
target     prot opt source               destination         
REJECT     tcp  -- !10.1.1.0/24          anywhere            multiport dports www,ftp,ssh,webmin state NEW reject-with icmp-net-unreachable 
REJECT     tcp  -- !10.1.1.0/24          anywhere            multiport dports microsoft-ds,mysql state NEW reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `Nuova non syn:' 
REJECT     tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            state INVALID LOG level warning prefix `Invalida:' 
REJECT     tcp  --  anywhere             anywhere            state INVALID reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 5/min burst 5 LOG level warning prefix `NMAP-XMAS:' 
REJECT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 5/min burst 5 LOG level warning prefix `SYN/RST:' 
REJECT     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 5/min burst 5 LOG level warning prefix `SYN/FIN:' 
REJECT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpts:netbios-ns:netbios-ssn limit: avg 5/min burst 5 LOG level warning prefix `NO SMB:' 
LOG        tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn limit: avg 5/min burst 5 LOG level warning prefix `NO SMB:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpts:netbios-ns:netbios-ssn reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpt:nfs limit: avg 5/min burst 5 LOG level warning prefix `NO NFS:' 
LOG        tcp  --  anywhere             anywhere            tcp spt:nfs limit: avg 5/min burst 5 LOG level warning prefix `NO NFS:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:nfs reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spt:nfs reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpts:x11:6063 limit: avg 5/min burst 5 LOG level warning prefix `NO X:' 
LOG        tcp  --  anywhere             anywhere            tcp spts:x11:6063 limit: avg 5/min burst 5 LOG level warning prefix `NO X:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpts:x11:6063 reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spts:x11:6063 reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpt:20034 limit: avg 5/min burst 5 LOG level warning prefix `NO NetBus2:' 
LOG        tcp  --  anywhere             anywhere            tcp spt:20034 limit: avg 5/min burst 5 LOG level warning prefix `NO NetBus2:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:20034 reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spt:20034 reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpts:12345:12346 limit: avg 5/min burst 5 LOG level warning prefix `NO NetBus:' 
LOG        tcp  --  anywhere             anywhere            tcp spts:12345:12346 limit: avg 5/min burst 5 LOG level warning prefix `NO NetBus:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpts:12345:12346 reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spts:12345:12346 reject-with icmp-net-unreachable 
LOG        tcp  --  anywhere             anywhere            tcp dpt:asp limit: avg 5/min burst 5 LOG level warning prefix `NO SubSeven:' 
LOG        tcp  --  anywhere             anywhere            tcp spt:asp limit: avg 5/min burst 5 LOG level warning prefix `NO SubSeven:' 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:asp reject-with icmp-net-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp spt:asp reject-with icmp-net-unreachable 

Chain bad_udp (1 references)
target     prot opt source               destination         

Chain icmp_in (1 references)
target     prot opt source               destination         
REJECT     icmp --  anywhere             anywhere            icmp echo-reply reject-with icmp-host-unreachable 
REJECT     icmp --  anywhere             anywhere            icmp echo-request reject-with icmp-host-unreachable 
REJECT     icmp --  anywhere             anywhere            icmp destination-unreachable reject-with icmp-host-unreachable 
REJECT     icmp --  anywhere             anywhere            icmp redirect reject-with icmp-host-unreachable 
REJECT     icmp --  anywhere             anywhere            icmp time-exceeded reject-with icmp-host-unreachable 
LOG        icmp --  anywhere             anywhere            LOG level warning prefix `ICMP drop:' 
DROP       icmp --  anywhere             anywhere            

Chain ok_tcp (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  10.1.1.0/24          anywhere            multiport dports www,ftp,ssh,webmin state NEW 
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        tcp  --  anywhere             anywhere            LOG level warning prefix `ok_tcp drop:' 
REJECT     tcp  --  anywhere             anywhere            reject-with icmp-net-unreachable 

Chain ok_udp (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        udp  --  anywhere             anywhere            LOG level warning prefix `ok_udp drop:' 
REJECT     udp  --  anywhere             anywhere            reject-with icmp-net-unreachable 

Posso sperare che sia dovuto al modem che mi funge anche da firewall?
Il fatto che nei test il mio ip cominci con 84.220.ecc.ecc, potrebbe significare qualcosa?

I test effettuati dall'esterno testano l'ip pubblico da cui ci si collega.

Non è importante essere o non essere dietro un router, quanto sapere se l'ip della propria macchina è pubblico o privato.
Normalmente il proprio ip è privato, del tipo 192.168.x.y, 10.x,y,z o pù raramente 172.16/31.x.y.
In questi casi l'ip testato è quello pubblico del router, quindi il risultato riguarda le impostazioni del firewall del router.

Ciao

Ciao e grazie.

[paper0k]

Ho installato la configurazione di Mizard ma nonostante digiti

Codice: Seleziona tutto

sudo sh -c 'echo "1" >/proc/sys/net/ipv4/ip_forward'

non riesco a condividere la connessione con un altro pc.

Il mio pc funge da gateway è ha indirizzo 192.168.1.1 mentre il client 192.168.1.2.

Grazie.

Prova ad inserire i comandi per il forward nella parte dello script dove compare "Abilitazione traffico interno"

[No Concept]

Scusate se mi intrometto nella discussione...sto usando per configurare il firewall lo script di Mizar, cacchio va veramente bene...

Ho solo un piccolo problema..vorrei accedere alla pagina 192.168.1.1 che mi permette di configurare il modem / router alice. Questo lo posso fare solo con il firewall abbassato. Sapete se potrei modificare qualcosa per accedervi con il firewall attivato?

Grazie...

[No Concept]

C'è qualcuno????? ???

[m4yh3m]

E pazienza, dopo ben 4 mesi, ho dovuto riavviare winzozz 
Ho norton internet security ben funzionante.
Ho rifatto il test di shields-up, e mi da lo stesso risultato.
Mi sa che è il risultato del router e non del firewall vero e proprio.

Ciao  ???

[Blackwater07]

Ciao a tutti,

volevo rimettere un attimo mano allo script di Mizar.
L'ho aperto con l'editor di testo e dopo averlo modificato ho provato a salvarlo, ma mi dice che il file è di sola lettura e che nn ho permessi sufficienti.
Nn ricordo nemmeno come ho fatto a inserirlo in /etc/init.d ( dato che sono nuovo, è probabile che abbia fatto qualcosa che nn ricordo bene  :-[ ).
Volevo chiedervi se per caso mi potete aiutare a capire o come modificare e salvare il file esistente, oppure come si fa a spostare il file nella posizione indicata sopra.

Un ringraziamento a tutti 

Blackwater07

[katapulta]

Per modificare lo script devi aprire l'editor di testo con i privilegi di superutente: quindi da shell sudo gedit /etc/init.d/firewall(o come hai chiamato lo script)

[Blackwater07]

Grazie mille katapulta 

Ora vedo se va  (b2b)

Ciao

Blackwater07

[Blackwater07]

Ok,

lo script l'ho modificato. Purtroppo però il programma per il quale ho aperto le porte ( aMsn ) continua a non funzionare... :'(

Qualcuno sa aiutarmi? 

Grazie

Blackwater