[help]iptable+ipblock+transmission

[topo.ap]

ciao a tutti...
Ho un quesito da porvi... Abitualmente uso il mio firewall con le porte aperte per vari servizi e anche per transmission, quando lancio lo stesso assieme all'ipblock noto con soddisfazione che vengono bloccati molti indirizzi e tutto mi sembra eccellente.
Oggi ho notato che ipblock mi consentiva alcuni accessi alla porta del transmission cosa che nn era mai accaduta ed allora ho voluta fare una semplice prova...
Ho commentato nel mio firewall le porte tcp e upd di transmission e facendo una prova col programma nn ho notato nessun rallentamento e facendo una prova su shields up le stesse risultano stealth e addirittura l'ipblock nn riceve nessun attacco se nn in maniera molto sporadica...
Allora mi chiedo... non ricevo attacchi perche risulto come steath oppure il firewall che è settato per tutte le connessioni da me all'esterno (e nn viceversa) annulla il lavoro dell'ipblock e mi conette anche a indirizzi pericolosi (comunque ho ipfilter del transmission spuntato).
Cosa credete che sia meglio fare?
Comunque vi posto il mio firewall così ci potete dare un'occhiata...
ciao e grazie a tutti.

#!/bin/bash

# Firewall
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT="ppp0" # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
########################
# Attivazione Firewall #
########################
        echo -n "Attivazione Firewall:    "

#################################
# Caricamento Moduli del Kernel #
#################################
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_state
modprobe ipt_tos
modprobe iptable_mangle

############################
        # Reset delle impostazioni #
############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        ########################
        # Apertura porte aMule #
        ########################
        $IPTABLES -A INPUT -p tcp --dport 4662 -j ACCEPT
        $IPTABLES -A INPUT -p udp --dport 4665 -j ACCEPT
        $IPTABLES -A INPUT -p udp --dport 4672 -j ACCEPT

        #######################
        # Apertura porte aMsn #
        #######################
        $IPTABLES -A INPUT -p tcp --dport 6891 -j ACCEPT

        ###############################
        # Apertura porte transmission #
        ###############################
        $IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
        $IPTABLES -A INPUT -p udp --dport 10000 -j ACCEPT

       
        ## Crea una catena che blocchi le nuove connessioni, eccetto quelle provenienti dall'interno.
        $IPTABLES -N block
        $IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A block -m state --state NEW -i ! ppp0 -j ACCEPT
        $IPTABLES -A block -j DROP

        ## Dalle catene INPUT e FORWARD salta a questa catena
        $IPTABLES -A INPUT -j block
        $IPTABLES -A FORWARD -j block



        echo "ok"
;;

  stop)
###########################
        # Disattivazione Firewall #
###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT  ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
;;

  status)
##############################
        # Display stato del Firewall #
##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
;;

  restart|reload)
        $0 stop
        $0 start
;;

  *)
echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
exit 1
;;

esac

exit 0

il secondo caso è con transmission commentato.

[shouldes]

Con o senza ipblock hai sempre le porte in stealth anche se le apri in ingresso, "nei test fatti su quei siti".
Poi se sei dietro un router per forza di cose sei stealth, pure senza firewall attivo sul pc, almeno con il mio.

Se la tua paranoia è bloccare gli indirizzi delle compagnie antip2p ti basta un filtro interno al programma torrent che usi e stai apposto.

[topo.ap]

Con o senza ipblock hai sempre le porte in stealth anche se le apri in ingresso, "nei test fatti su quei siti".
Poi se sei dietro un router per forza di cose sei stealth, pure senza firewall attivo sul pc, almeno con il mio.

Se la tua paranoia è bloccare gli indirizzi delle compagnie antip2p ti basta un filtro interno al programma torrent che usi e stai apposto.

uso il l'alice gate 2 plus e il tuo ragionamento torna.... ma se uso il firewall con la porta del transmission aperte facendo il test col programma in funzione risulto aperto e chiuso col prog spento... mentre se io commento le porte risulto stealth sia col prog in funzione sia spento..

[shouldes]

Con o senza ipblock hai sempre le porte in stealth anche se le apri in ingresso, "nei test fatti su quei siti".
Poi se sei dietro un router per forza di cose sei stealth, pure senza firewall attivo sul pc, almeno con il mio.

Se la tua paranoia è bloccare gli indirizzi delle compagnie antip2p ti basta un filtro interno al programma torrent che usi e stai apposto.

uso il l'alice gate 2 plus e il tuo ragionamento torna.... ma se uso il firewall con la porta del transmission aperte facendo il test col programma in funzione risulto aperto e chiuso col prog spento... mentre se io commento le porte risulto stealth sia col prog in funzione sia spento..

Io avevo fatto delle prove sia con amule che con deluge in funzione e risultavo stealth proprio su shield up, con il pc messo in DMZ, quindi senza altre protezioni oltre iptables.

Con i programmi chiusi naturalmente risulto invisibile.
Come filtri usavo una lista bluetack che deluge e amule aggiornavano in automatico.

Io ho pure fatto qualche modifica a sysctl.conf, aspe' che te lo posto:

Codice: Seleziona tutto

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# the following stops low-level messages on console
kernel.printk = 4 4 1 7

# enable /proc/$pid/maps privacy so that memory relocations are not
# visible to other users.  (Added in kernel 2.6.22.)
kernel.maps_protect = 1

# Increase inotify availability
fs.inotify.max_user_watches = 524288

# protect bottom 64k of memory from mmap to prevent NULL-dereference
# attacks against potential future kernel security vulnerabilities.
# (Added in kernel 2.6.23.)
vm.mmap_min_addr = 65536

##############################################################3
# Functions previously found in netbase
#

# Comment the next two lines to disable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# This disables TCP Window Scaling (http://lkml.org/lkml/2008/2/5/167)
net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.ip_forward=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
net/ipv4/icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
net/ipv4/icmp_ignore_bogus_error_responses = 1
# 
# Do not accept ICMP redirects (prevent MITM attacks)
net/ipv4/conf/all/accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net/ipv4/conf/all/secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net/ipv4/conf/all/send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net/ipv4/conf/all/accept_source_route = 0
#
# Log Martian Packets
#net/ipv4/conf/all/log_martians = 1
#
# Always defragment packets
#net/ipv4/ip_always_defrag = 1
#
# Ignora ogni echo request
net.ipv4.icmp_echo_ignore_all=1


# diminuisce l'uso sconsiderato del disco
vm.swappiness=40

prova a vedere se diventi invisibile in questo modo.

[topo.ap]

ciao il problema nn è diventare stealth... basta che commenti la porta tcp del trasmission e risulto stealth... la mia domanda è un'altra... perche così facendo ipblock nn riceve nessun attacco? puo essere che sono in'attaccabile? oppure ipblock con le porte stealth nn fa il suo lavoro? perche nn blocca niente i log sono fermi..

[shouldes]

ciao il problema nn è diventare stealth... basta che commenti la porta tcp del trasmission e risulto stealth... la mia domanda è un'altra... perche così facendo ipblock nn riceve nessun attacco? puo essere che sono in'attaccabile? oppure ipblock con le porte stealth nn fa il suo lavoro? perche nn blocca niente i log sono fermi..

Ipblock è un filtro, se blocchi le connessioni non ha nulla da filtrare.

[topo.ap]

e qui ci siamo... ma visto che transmission mi va che è una bellezza anche con il firewall con le porte commentate mi chiedevo.... Se transmission scarica da dio vuol dire che ha le connessioni con gli indirizzi e il filtraggio e effettuato dal filtro del programma stesso (bluetack+ipfilter.dat).... a questo punto è meglio questo modo oppure il primo cioè aprire le porte e usare ipblock?

P.S. ma se nel firewall non apro le porte come mai scarico ugualmente? nn è che ogni volta mi apre delle porte casuali (nn penso perche in preferenze come porta ho messo proprio quella) ma......

[topo.ap]

Allora, per la cronaca....
assalito da questa cosa ho fatto dei test e delle prove (premetto che tutto questo è stato fatto perche hai tempi, per fortuna ormai lontani, di emule sotto winzoz usavo l'ipfilter.dat aggiornato continuamente da un noto sito DD con il quale mi sono sempre sentito "sicuro" per così dire) mi sono accorto che il transmission è povero di filtri, infatti aprendo /home/tuonome/.config/transmission/blocklists vi era presente solamente il livel1 della bluetack.... allora mi sono detto: siamo a cavallo... basta aggiungere il mio ipfilter.dat e sono sicuro. Questo però nn ha dato la soluzione sperata perche il programma nn riconosce i file .dat ma solo .txt che trasforma automaticamente in .bin al lancio dello stesso... Ho provato allora a modificare da dat a txt ma niente da fare perche il formato nativo txt a proprio la struttura diversa dal dat. Allora sono andato nel sito della bluetack mi sono scaricato tutti i filtri in .txt e li ho aggiunti alla blocklists... adesso mi carica 365000 filtri contro i 220000 del livel1...
Al momento sono arrivato alla conclusione che terrò transmission con porte stealth e con i soli filtri senza ipblock....
Se qualcuno a qualcosa da dire lo dica.... ciao

[shouldes]

Guarda che la paronoid è fatta per i più paranoici, quindi basta e avanza.
Su delude puoi mettere direttamente l'indirizzo della lista e lo aggiorna automaticamente ad ogni avvio, e supporta vari tipi di formato.