[Server] Firewall per nuovo server

[Lupobz]

Ciao A tutti  ,

come detto in altre discussioni sono nuovo e sto creando un server per download di file, e posta con la possibilità di condivisioni interne alla lan locale. Leggendo la guida a ubuntu server ho iniziato ad usare ufw come firewall dato che ho improntato il server solo a riga di comando per non consumare troppe risorse, ma non so se sia sufficiente per tenermi al sicuro.

Vorrei sapere se è sufficiente o se integrarlo con altro soft o addirittra cambiare totalmente...  ??? ???

Rigrazio anticipatamente. (b2b)

[il_muflone]

il firewall Linux l'ha dentro il kernel e si chiama netfilter.

i vari ufw, iptables, ipfilter, shorewall sono solo interfacce per configurare le regole di netfilter.
Quindi da dove lo configuri non ha nessuna importanza, i risultati saranno uguali con qualsiasi tu utilizzi, basta che le regole siano corrette.

[Lupobz]

Grazie per la celere risposta.

Dato che ho iniziato ad avere un dimestichezzza con ufw lo configuro con quello.

Ho pensato di suddividere il traffico su due interfacce:

una per l'esterno, quindi con servizi di ftp, mail, torrent, mulo;

una per l'interno, con i soli servizi di samba(dato che i terminali della lan sono win non ho bisogno di nfs o sbaglio) e ssh per il controllo remoto.

penso che soì configurato espongo meno il server all'esterno oppure è solo una mia invenzione?

poi se posso avrei da farti un po' di domande data la tua esperienza su alcuni risultati di netstat che ho ottenuto... come posso passarli in un file per poi postarlo??

grazie ancora

Lupobz

[il_muflone]

tutto corretto quel che hai esposto.

il file puoi allegarlo, in basso se clicchi su opzioni aggiuntive ti consente di allegare un file

[Lupobz]

eccomi qui..

ti chiedo di chiarirmi il più possibile il risultato: cosè raw? e come mai ho tante porte aperrte udp e tcp? i servizi li riconosco ma il resto mi è un po' oscuro... :-\ ::)

al momento il server gira in virtuale su win e quindi ho solo una lan eth0 ma in realtà sul server avrò due interface ben distinte.

grazie

[il_muflone]

hai le porte aperte perché hai installato quelle applicazioni, mi pare ovvio.
21 è il server ftp
22 è il server ssh
445, 137, 138 e 139 sono il server samba (configurato male)
47500 e 111 sembrano il server NFS
quasi tutte le altre sono quell'utserver che sai solo tu cosa sia

raw significa che usa una porta del protocollo IP ma che non appartiene a nessuno dei protocolli conosciuti (né TCP, né UDP, né ICMP)

[Lupobz]

Ok ricapitoliamo:

Nfs da rimuovere per il momento, appena posso cambio so e mi butto anche su ubuntu desktop;
utserver è il demone di utorrent server la porta 8112 è per la webui e la 54821 è per lo scambio di file(almeno spero);
per samba sto provvedendo a migliorare la config... un po' di pazienza e ci arriverò.
ssh mi server per il controllo remoto.

Hai consigli su come migliorare samba? :-\
Vorei rimuovere il supporto al ip6 come faccio??? Ovviamente Utorrent mi supporta all'avvio anche il proto ip6 se lo elimino avrei delle porte aperte in meo no? ::)

grazie

lupobz

[il_muflone]

La disabilitazione di IPv6 dipende dalla versione, ogni volta cambiano qualcosa

per samba configura soltanto un'interfaccia specifica e non tutte, ci sono le specifiche interfaces e bind interfaces only. inoltre non dovresti avere le porte 137 e 138 aperte, se  le hai vuol dire che hai attivato la modalita' compatibile per win9x.

cmq sia tutti i servizi vanno configurati per essere in ascolto solo sull'interfaccia desiderata e non su tutte.

[Lupobz]

ho cercato in rete come disabilitare le porte 137 e 138, ma nn ho trovato nulla, anche se penso configurando samba e ufw per il solo lan e con i comandi che mi hai dato non dovrebbe essere un prob se restano aperte :-\

Ipv6 invece ancora buio...... mah
da ricerche dicono che se lo si disabilita la navigazione ne giova..... anche se io dal server nn devo navigare!

consigli???

grazie

[il_muflone]

le porte 137 e 138 sono aperte dal servizio nmbd, ti basta non avviarlo per non aprirle.

ipv6 non e` dannoso di suo, se vuoi puoi anche lasciarlo, il problema non e` li`

[Lupobz]

eccol la lista dei risultati:

ho attivato una sec interfaccia sul server e ho impostato nel file smb.conf i parametri che mi hai detto e anche l'ip corretto.
ora però ogni volta che da win serco di leggere il server mi chiede l'autenticazione, ma anche dando i parametri giusti nn accedo alla lista delle cartelle condivise. >:(
vsftp l'ho messo in ascolto solo sull'interfaccia internet

mah... consigli!!!
Grazie

[il_muflone]

la password non c'entra con gli indirizzi

[Lupobz]

Ora mi è venuto in mente che quando ho disinstallato nfs mi ha rimosso anche portmap che se nn sbaglio è un traduttore di rpc di win..... :-\

potrebbe essere la causa del mio casino??  ???

uff ora mi sto arrabbiando >:(

[il_muflone]

no

[Lupobz]

Risolto il casino......... >:(

avevo la scheda di rete su win con lo stesso indirizzo anche su ubuntu quindi niente accesso......

Dopo aver sclerato per mezza giornata, ora samba funziona correttamente.......

Mi ero incaponito con il povero Samba 

cmq ancora nn so come stoppare nmbd al boot.... so che si avvia con smbd

Ora provo a cercare ancora.....

Grazie

[il_muflone]

sudo update-rc.d -f nmbd remove

[Lupobz]

Novità: (good)

Ho aggiunto a smb.conf il parametro "disable netbios = yes" e come per magia le porte 137,138 si sono chiuse...
unico inconveniente è che invece che il nome del server devo usare l'indirizzo.

sudo update-rc.d -f nmbd remove

se uso il comando posso utilizzare il nome e vedere il server condiviso?  ???

Grazie

[il_muflone]

se togli netbios (o chiudi nmbd) devi assegnare il nome nel file hosts col suo indirizzo ip

[Lupobz]

Si avevo immaginato..

Cmq nei pc client andrò a creare delle unità di rete quindi che utilizzi ip o nome netbios nn cambia anche perché ovviamente il server avrà ip fisso

per qunto riguarda utserver sto cercando dai parametri che posso configurare di chiudere più porte possibili.