gufw vs firestarter vs iptables

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

gufw vs firestarter vs iptables

Messaggio da Syco »

stasera ho letto tutte le guide possibili, iptables e ufw soprattutto.
sul pc interessato, che oltretutto di solito sta dietro 2 router (quindi il firewall dovrebbe essere proprio inutile), ho configurato ufw tramite gufw, intuitivo e semplice,
l'iptables che ne esce però è piuttosto lungo. quello che mi interessa è: la configurazione che ne esce ->

Codice: Seleziona tutto

sudo iptables -L
Chain INPUT (policy DROP)        
target     prot opt source               destination         
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere             

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere             

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere             

Chain ufw-after-forward (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK FORWARD]: ' 
RETURN     all  --  anywhere             anywhere                                                                                       

Chain ufw-after-input (1 references)
target     prot opt source               destination         
RETURN     udp  --  anywhere             anywhere            udp dpt:netbios-ns 
RETURN     udp  --  anywhere             anywhere            udp dpt:netbios-dgm 
RETURN     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn 
RETURN     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds 
RETURN     udp  --  anywhere             anywhere            udp dpt:bootps       
RETURN     udp  --  anywhere             anywhere            udp dpt:bootpc       
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK INPUT]: ' 
RETURN     all  --  anywhere             anywhere                                                                                     

Chain ufw-after-output (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ufw-user-forward  all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere                   

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere            ctstate INVALID             
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench           
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded           
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem       
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request            
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc    
ufw-not-local  all  --  anywhere             anywhere                                     
ACCEPT     all  --  BASE-ADDRESS.MCAST.NET/4  anywhere                                    
ACCEPT     all  --  anywhere             BASE-ADDRESS.MCAST.NET/4                         
ufw-user-input  all  --  anywhere             anywhere                                    
RETURN     all  --  anywhere             anywhere                                         

Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
ACCEPT     udp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
ufw-user-output  all  --  anywhere             anywhere                                    
RETURN     all  --  anywhere             anywhere                                          

Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type LOCAL 
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type MULTICAST 
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST 
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK NOT-TO-ME]: ' 
DROP       all  --  anywhere             anywhere                                                                                         

Chain ufw-user-forward (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:46096 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:46096 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6880  
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6891  
ACCEPT     udp  --  anywhere             anywhere            udp dpt:6891
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:768
ACCEPT     udp  --  anywhere             anywhere            udp dpt:768
RETURN     all  --  anywhere             anywhere

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning prefix `[UFW LIMIT]: '
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain ufw-user-output (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
è affidabile o sarebbe meglio usare iptables direttamente??
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
PaoloVIP
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 819
Iscrizione: venerdì 4 agosto 2006, 14:32
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da PaoloVIP »

Io personalmente preferisco usare direttamente iptables. Però se qualcuno ha fatto questo tool per automatizzare le regole del firewall, sono sicuro che hanno lasciato meno falle della mia tenacia e buona volontà.

;)
Avatar utente
Guiodic
Accecante Asceta
Accecante Asceta
Messaggi: 28474
Iscrizione: martedì 24 aprile 2007, 15:28
Località: Roma
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Guiodic »

Certo che siamo in piena sega mentale :)
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

raramente mi collego direttamente alla rete.. :P
e poi su un router non ho firewall e l'altro che gli sta appresso ho modificato il firmware e non so quanto sia affidabile (riguardo la sicurezza) quello che ho messo...ora sembro meno paranoico??
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
Avatar utente
Guiodic
Accecante Asceta
Accecante Asceta
Messaggi: 28474
Iscrizione: martedì 24 aprile 2007, 15:28
Località: Roma
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Guiodic »

no...
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

se aggiungo che sto in casa con dei pirati e devo proteggermi anche da loro che sono già dentro il firewall??  ::)
insomma, si può sapere quanto sono affidabili le interfacce rispetto a iptables o no??  ;D
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
Avatar utente
Guiodic
Accecante Asceta
Accecante Asceta
Messaggi: 28474
Iscrizione: martedì 24 aprile 2007, 15:28
Località: Roma
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Guiodic »

ufw (e quindi gufw) fanno a loro volta uso di iptables, come del testo firestarter. Quindi la domanda non ha molto senso...
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

so che alla fine usano tutti iptables, ma secondo me ha senso se andiamo a considerare tutte le regole "in più" che interfacce come gufw e firestarter vanno ad aggiungere... se la configurazione passa da una decina a circa 50 righe comincio a chiedermi se sono tutte corrette o ci sono aperture non desiderate o altro a cui non ho neanche pensato.
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
PaoloVIP
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 819
Iscrizione: venerdì 4 agosto 2006, 14:32
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da PaoloVIP »

Bhe, puoi sempre testarne l'efficacia usando ShieldsUp su www.grc.com.
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

non riesco a trovare il test che dici, però ho fatto questi.
il risultato è ottimo, c'è aperta solo la porta che lascio aperta per ssh...
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
Avatar utente
Guiodic
Accecante Asceta
Accecante Asceta
Messaggi: 28474
Iscrizione: martedì 24 aprile 2007, 15:28
Località: Roma
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Guiodic »

Syco ha scritto: non riesco a trovare il test che dici, però ho fatto questi.
il risultato è ottimo, c'è aperta solo la porta che lascio aperta per ssh...
Io viaggio senza firewall locale e con il mio ip in DMZ (quindi fuori dal firewall del router) e ovviamente ho tutto chiuso ;)
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

ma hai chiuso tutto...io devo tenere aperte giusto un paio di porte, ma preferisco stare sicuro...
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
Avatar utente
Guiodic
Accecante Asceta
Accecante Asceta
Messaggi: 28474
Iscrizione: martedì 24 aprile 2007, 15:28
Località: Roma
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Guiodic »

Syco ha scritto: ma hai chiuso tutto...io devo tenere aperte giusto un paio di porte, ma preferisco stare sicuro...
risulta chiuso tutto perché non ho nulla in ascolto...
se metto ssh ovviamente ...
PaoloVIP
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 819
Iscrizione: venerdì 4 agosto 2006, 14:32
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da PaoloVIP »

Puoi avere chiuso, aperto o stealth, che è la cosa migliore. ShildsUp ti dice appunto questo. Questo è il link diretto: https://www.grc.com/x/ne.dll?bh0bkyd2
Avatar utente
salerno91
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1033
Iscrizione: martedì 10 luglio 2007, 12:11
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da salerno91 »

ti consiglio di usare guarddog ma giusto per gestire le regole ... anche se a questi livelli è inutile il firewall  (rotfl)
Ciao :D
PaoloVIP
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 819
Iscrizione: venerdì 4 agosto 2006, 14:32
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da PaoloVIP »

salerno91 ha scritto: ti consiglio di usare guarddog ma giusto per gestire le regole ... anche se a questi livelli è inutile il firewall  (rotfl)
Puoi essere più preciso? Non mi sembra di aver capito bene...
Avatar utente
salerno91
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1033
Iscrizione: martedì 10 luglio 2007, 12:11
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da salerno91 »

guarddog è un ottimo gestore delle regole per i novellini :)
Ciao :D
Avatar utente
Syco
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 662
Iscrizione: lunedì 18 settembre 2006, 19:40
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da Syco »

anche gufw è molto semplice, le porte sono tutte stealth, tranne quelle che ho aperto io che risultano chiuse (a meno dell'applicazione aperta)... penso di potermi ritenere soddisfatto, no??
Il miglior GDR online mai creato:
http://www.thechosenbyte.com/YnisWitrin
Immagine
Avatar utente
salerno91
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1033
Iscrizione: martedì 10 luglio 2007, 12:11
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da salerno91 »

bhe contento tu :-\ ;D  ;)
Ciao :D
PaoloVIP
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 819
Iscrizione: venerdì 4 agosto 2006, 14:32
Contatti:

Re: gufw vs firestarter vs iptables

Messaggio da PaoloVIP »

Syco ha scritto: anche gufw è molto semplice, le porte sono tutte stealth, tranne quelle che ho aperto io che risultano chiuse (a meno dell'applicazione aperta)... penso di potermi ritenere soddisfatto, no??
Si penso che il risultato possa essere più che buono.

In fondo non possiamo mica essere tutti degli McHardy o salerno91, no?
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 2 ospiti