Settare iptables

[Alex-xxx]

Ciao a tutti ho la necessita di bloccare tutto i ltraffico a parte solo alcune porte, tipo ssh o ftp. il problema sta che non posso chiudere tutte le porte causa mi chiude anche la porta di ssh che utlizzo dato che uso un server estero, infatti come iptables -L risulta questo:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Vorrei capire come chiudere tutte le porte senza escludera la porta che uso per ssh e salvarle in modo che al riavvio del server non debba riconfigurare tutto .. Grazie a tutti per gli aiuti ..

[njin]

Firestarter è l'interfaccia grafica di iptables.

[njin]

trovi info anche nel wiki digitando iptables

[Alex-xxx]

Gia letto tutto, non mi serve un pizza... Se eseguo la guida mi chiudo fuori O_O. Se avevo fisicamete il server davanti lo facevo ma non ce .. Ho bisogno di chiudere tutte le porte a parte alcune senza dover chiudere la ssh in cui lavoro ... Se chiudo le porte con:

sudo iptables -P INPUT  DROP

Si chiude la conessione e normale......

[njin]

Io intendo questo:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
fonte
http://forum.ubuntu-it.org/index.php?action=post;topic=249133.0;num_replies=3
oppure firestarter:

[badìl]

Non puoi chiudere tutte le porte e poi aprire solo quelle che ti servono?

[njin]

Oppure se proprio non puoi staccare prova a postare in 3rd part project per vedere se qualcuno ti fa uno script per chiudere una ad una tutte le porte saltando quelle che servono.

[Ptah]

prima di chiudere tutto devi dirgli di accettare i "related" e gli "established", altrimenti è ovvio che se chiudi una porta in uso (o tutte) ti "butta fuori" e ti chiude le connessioni della o delle porte
Ricorda che ogni catena viene letta dalla cima verso il fondo e la prima regola della catena che matcha viene eseguita (di solito).
Tradotto significa (facendolo a manina....con script invece basta che ti vedi quelli che ho in firma linkati):
abilitare (ACCEPT) per i related e gli established (così se la connessione è già attiva non te la chiude)
abilitare i servizi (porte) che desideri con gli eventuali filtri aggiuntivi (source ip) (così ti apre solo i servizi che ti interessano)
dare il default (DROP) sulla catena di input (così ti chiude tutto il resto)

[Alex-xxx]

Dovrebbe funzionare cosi se tutto va bene ditemi voi che ne pensate:

Codice: Seleziona tutto

#!/bin/bash
#
# Firewall personale by Benjamin (Mizar)
############################################

######################################################
# Indirizzo web di origine                           #
# http://forum.ubuntu-it.org/viewtopic.php?t=12833 #
######################################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT1="eth0"                   # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
        ########################
        # Attivazione Firewall #
        ########################
        echo -n "Attivazione Firewall:    "

        #################################
        # Caricamento Moduli del Kernel #
        #################################
        modprobe ip_tables
        modprobe iptable_nat
        modprobe ip_conntrack
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
        modprobe ipt_LOG
        modprobe ipt_MARK
        modprobe ipt_MASQUERADE
        modprobe ipt_REDIRECT
        modprobe ipt_REJECT
        modprobe ipt_TOS
        modprobe ipt_limit
        modprobe ipt_mac
        modprobe ipt_mark
        modprobe ipt_multiport
        modprobe ipt_state
        modprobe ipt_tos
        modprobe iptable_mangle

        ############################
        # Reset delle impostazioni #
        ############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        ################################
        # Impostazione Policy standard #
        ################################
        $IPTABLES -P INPUT   DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT  ACCEPT

        #################################
        # Abilitazione traffico interno #
        #################################
        $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
        $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT

        #############################################################################
        # Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
        #############################################################################
        $IPTABLES -A INPUT -p  tcp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  tcp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

      
        ########################
        # Apertura TCP         #
        ########################
        iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
        iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
        iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
        iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
		########################
        # Apertura UDP        #
        ########################
        iptables -A INPUT -p udp --dport xxxx -j ACCEPT
        iptables -A INPUT -p udp --dport xxxx -j ACCEPT
        iptables -A INPUT -p udp --dport xxxx -j ACCEPT
        iptables -A INPUT -p udp --dport xxxx -j ACCEPT
		
		
        ##########################
        # Apertura porte Mysql   #
        ##########################
        iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

        #######################
        # Apertura porte Ftp  #
        #######################
        iptables -A INPUT -p tcp --dport 20 -j ACCEPT
        iptables -A INPUT -p tcp --dport 21 -j ACCEPT

        #######################
        # Apertura porte SSh #
        #######################
        iptables -A INPUT -p tcp --dport xxxx -j ACCEPT

        echo "ok"
        ;;

  stop)
        ###########################
        # Disattivazione Firewall #
        ###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT   ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
        ;;

  status)
        ##############################
        # Display stato del Firewall #
        ##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
        ;;

  restart|reload)
        $0 stop
        $0 start
        ;;

  *)
        echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
        exit 1
        ;;

esac

exit 0

In teoria quando lo attivo non dovrebbe darmi problemi almeno spero

[pierba]

Si, va bene, se non hai esigenza di accedervi dall'esterno.

Ho messo il tuo script tra i tag [ code] per facilitare la letura del thread.
ciao

[Alex-xxx]

Si, va bene, se non hai esigenza di accedervi dall'esterno.

Ho messo il tuo script tra i tag [ code] per facilitare la letura del thread.
ciao

Veramente questo scrip in teoria dovrebbe farmi acceddere da esterno sulla porta ssh che metto ... oppure no ?? :-X :-X

[badìl]

Se non hai accesso fisico alla macchina prima di lanciare lo script imposta cron in modo da killarlo dopo 10 minuti che l'hai lanciato, così se ti chiude fuori non è grave. 

[Alex-xxx]

Grazie per aver gufato azzolina .... un scrip cosi dove lo piglio mi dai un link perfavore grassie  :-[ :-[

[badìl]

Non so, qui c'è la guida a cron
AmministrazioneSistema/Cron

Oppure prova lo script in una macchina a cui hai accesso fisico prima.  :-[

[Alex-xxx]

Questo e il risultato ma comunque vedo ancora porte aperte come mai??? un aiutino perfavore

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    all  --  anywhere            anywhere

Chain FORWARD (policy DROP)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination
ACCEPT    all  --  anywhere            anywhere

Ho fatto un test in locale non si sa mai

[pierba]

Come vedi di avere porte aperte?

Se sei dietro un router e fai testa dall'esterno, ovviamente vedi le porte aperte su questo, e dovresti impostare il firewall sul router, non sulla macchina.

Nello script hai impostato regole anche per IFEXT2, ma non e` definita da alcuna parte.

ciao