Iptables che mi piglia per il....

[ghiacciodj]

Ciao a tutti ragazzi... ho un problema con il mio script
Una volta configurato mi becca solo una regola e basta...
incollo qui il mio script per cercare di capire dove sbaglio...


#!/bin/sh

#---------------------#

# 1.Local Configuration
#
#LO_IFACE="lo"
#LO_IP="127.0.0.1"
#
#
#
# 2. Internet configuration
#
INET_IP="192.168.1.103"
INET IFACE="wlan0"
#
#
#
# 3. Iptables configuration
#
IPTABLES="sudo /sbin/iptables"
#
#
#
# FLUsh REgole IPtables (reset delle regole)

IPTABLES -F INPUT
IPTABLES -F OUTPUT
IPTABLES -F FORWARD
#
# Set Defautl regole Iptables

$IPTABLES -P INPUT DROP
#$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP



#Regole impostate chain INPUT



iptables -A INPUT -P tcp --sport 80 -j ACCEPT #accetto connessioni porta 80#
iptables -A INPUT -P tcp --dport 22 -j DROP #Blocco entrate su telnet#
iptables -A INPUT -P tcp --sport 23 -j ACCEPT #accetto connessioni ssh#
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #regola che permette di relazionare il traffico in entrate con quello in uscita#



Cosi non funziona, o meglio mi prende solo la 4°regola...
Dove sbaglio?
Grazie per le delucidazioni

[cdr89]

dando 1 rapida okkiata mi sembra tu abbia dimenticato i $ qui (prima di IPTABLES):

# FLUsh REgole IPtables (reset delle regole)

IPTABLES -F INPUT
IPTABLES -F OUTPUT
IPTABLES -F FORWARD
#

[Stealth]

Hai scambiato le porte, la 22 è quella di default per ssh e la 23 sarebbe di telnet.....posto che qualcuno lo usi ancora.
Partendo dalla forma: occhio a cosa metti prima e cosa dopo, se usi iptables -A "appendi" le regole e, se quella prima droppa e quella dopo consente, a quella che consente non arriverà nulla da consentire.

Anche il traffico della 22, comunque, non ho capito perchè lo droppi. Se hai un server attivo ti serve aperta, se non lo hai è chiusa di suo.

Su quella macchina c'è un server web attivo? Altrimenti non si capisce a cosa serve aprire la porta 80. Fossi in te andrei a cercarmi lo script di Mizar e, se hai un desktop, usa quello che è perfetto
ciao

[ghiacciodj]

davanti alle regole dici che non deve essere messo questo $ ?
Vorrei bloccare le connessioni verso la porta 21 dal mio notebook..
Quindi dovrei aggiungere questa regola?

iptables -A OUTPUT -p tcp --dport 21 -j DROP

[Stealth]

davanti alle regole dici che non deve essere messo questo $ ?
Vorrei bloccare le connessioni verso la porta 21 dal mio notebook..
Quindi dovrei aggiungere questa regola?

iptables -A OUTPUT -p tcp --dport 21 -j DROP

Aridaje....ma hai un server ftp attivo su quella macchina, sì o no? Se sì e chiudi la porta 21 il tuo server non sarà più raggiungibile, in pratica sarà come non averlo. Se invece no e il server non ce l'hai, non ti serve chiuderla. È già chiusa di suo.

In ogni caso, se vuoi chiuderla al traffico entrante, sostituisci OUTPUT con INPUT. Se vuoi che da quella porta non esca nulla, lascialo com'è.....e poi fa un po' come ti pare 
ciao

[ghiacciodj]

Hai scambiato le porte, la 22 è quella di default per ssh e la 23 sarebbe di telnet.....posto che qualcuno lo usi ancora.
Partendo dalla forma: occhio a cosa metti prima e cosa dopo, se usi iptables -A "appendi" le regole e, se quella prima droppa e quella dopo consente, a quella che consente non arriverà nulla da consentire.

Anche il traffico della 22, comunque, non ho capito perchè lo droppi. Se hai un server attivo ti serve aperta, se non lo hai è chiusa di suo.

Su quella macchina c'è un server web attivo? Altrimenti non si capisce a cosa serve aprire la porta 80. Fossi in te andrei a cercarmi lo script di Mizar e, se hai un desktop, usa quello che è perfetto
ciao

Si ho confuso la porta 22 con la 23...

quindi per far si che il mio pc si colleghi solamente con l'esterno con la porta http 80.. dovrei scrivere la regola sotto la Chain Output giusto? e in input selezionare una politica DROP... giusto?
Il risultato sarebbe HTTP 80 OK! altre connessioni chiuse...

erro?

[ghiacciodj]

quindi ricapitolando..

1) se imposto una politica chiusa (DROP) nella chain INPUT significa che rendo irraggiungibile dall'esterno la mia macchina... giusto?

2)se invece ho attivo un server web/ftp/ssh ecc, devo abilitare nella chain INPUT le regole che permettono di raggiungere tali servizi su questa macchina dall'esterno...

3)Se imposto una politica chiusa in OUTPUT significa che le connessione in uscita, (dalla mia macchina all'esterno), non verranno eseguite... quindi se io vorrò rendere accessibile alla mia macchina una connessione ftp (21) verso l'esterno dovrò settare sotto la chain OUTPUT questa regola: iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
E' corretto cosi?

4)Se vorrei invece settere la mia macchina come un firewall vero.. ossia 2 interfaccie di rete attive,(la 1° settata su lan, la 2° settata su internet), in iptables devo attivare i moduli ipv4? per poi impostare le varie regole nella varie chain tra cui FORWARD?

Grazie della pazienza... e delle risposte..