[RISOLTO] Blocco del Notebook con Iptables

[Par]

Ciao a tutti,
  premetto che non è molto che sono passato ad Ubuntu, in particolare Edgy 6.10, ma dopo anni di windows volevo avere finalmente il pieno controllo del mio pc sapendo finalmente cosa succede quando si inserisce un comando.
Ora sono arrivato a "giocare" con iptables ma ho un problema che non ho trovato citato da nessuna parte, ho provato anche un ricerca con Google ma niente.
Ho impostato 3 semplice regole forzando le 3 catene INPUT, OUTPUT, FORWARD con un DROP e come ho visto in un topic sul forum ho impostato una regola di ACCEPT sull'interfaccia di loopback ed un regola di state ESTABLISHED, RELATED, entrambe catena di INPUT. Fatto questo ho salvato tutta la configurazione con iptables-save in un file sotto /etc ed ho impostato nel file rc.local il comando iptables-restore /etc/nonemifile.

Il problema è che quando faccio ripartire il pc ed effettuo il logon con gnome, il pc si blocca. Ho provato la stessa configurazione su di un vecchio pc dove avevo installato Xbuntu e non ho avuto nessun problema. Sono cosciente del fatto che con questa configurazione minima il mio notebook non può praticamente fare nulla, ma vorrei capire perchè si blocca e perchè solo al riavvio.

Qualche suggerimento?
Spero proprio di si.

Grazie
Par

[Par]

Ho un'informazione aggiuntiva da fornire.....in realtà il pc non si blocca, impiega solo 2 minuti ad effettuare il log on perchè ha un problema con il Gnome Settings Daemon; in pratica qualcosa non gli piace...peccato che questo errore ci sia solo con il firewall attivo; poi cosa strana è che mi cambia alcune icone sul pannello di Gnome ed anche i temi delle finestre sono differenti.
Allego il png del messaggio di errore.

Grazie ancora a chi saprà aiutarmi.

[pierba]

Come hai impostato iptables? Posta l'output del comando:

Codice: Seleziona tutto

sudo iptables -L

Anche se credo dipenda da altro.

ciao

[Par]

infatti temo anche io non dipenda a quello, comunque

par@par-laptop:~$ sudo iptables -L
Chain INPUT (policy DROP)
target    prot opt source              destination       
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:webcache
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:8000
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:8888
ACCEPT    udp  --  anywhere            anywhere            udp dpt:domain
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:domain
ACCEPT    all  --  anywhere            anywhere           
ACCEPT    all  --  anywhere            anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination       

Chain OUTPUT (policy DROP)
target    prot opt source              destination       
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:domain
ACCEPT    udp  --  anywhere            anywhere            udp dpt:domain
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:webcache
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:8000
ACCEPT    tcp  --  anywhere            anywhere            tcp dpt:8888

Il fatto è che mi compare quel messaggio d'errore di Gnome Settings Daemon; ovviamente se lascio le regole di default il messaggio di errore, al log on, non compare.

Considera che queste regole erano solo una prova perchè in realtà ne dovrei aprire altre, la cosa che mi ha sorpreso è che provando queste stesse impostazioni in Xubuntu funziona tutto alla grande.

Ciao
Par

[Par]

Per il Moderatore.....

Visto che sono abbastanza cocciuto e mi piace sperimentare le cose ho installato la versione di Kubuntu su di un pc che ho rimediato e su quella macchina, come per Xubuntu, questa configurazione del firewall non mi da nessun problema.
A questo punto penso che sia un problema con Gnome, come si può segnalare la cosa a qualcuno degli sviluppatori?

Grazie
Par

[Stealth]

È come se qualche applicazione (o magari un applet, tipo quella del meteo sulla barra) non riuscisse a bypassare il firewall....però è strano.
Lo script che uso io (è una modifica di quello di Mizar, che trovi in quel monumento di topic chiamato "settare firewall"), funziona regolarmente sullo gnome 2.17.92 (feisty), su quello di edgy (non ricordo la versione) e sul 2.14.3 di debian testing, mai avuto un problema del genere.
Comunque, nel caso possa esserti utile......questo è il mio script:

Codice: Seleziona tutto

gianni@feisty:~$ cat /etc/init.d/firewall
#!/bin/bash
#
# Firewall personale by Gianni (Stealth) creato modificando l'originale di Benjamin (Mizar)
############################################

#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT="eth0"                    # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc

case "$1" in
  start)
        ########################
        # Attivazione Firewall #
        ########################
        echo -n "Attivazione Firewall:    "

        #################################
        # Caricamento Moduli del Kernel #
        #################################
        modprobe ip_tables
        modprobe iptable_nat
        modprobe ip_conntrack
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
        modprobe ipt_LOG
        modprobe ipt_MARK
        modprobe ipt_MASQUERADE
        modprobe ipt_REDIRECT
        modprobe ipt_REJECT
        modprobe ipt_TOS
        modprobe ipt_limit
        modprobe ipt_mac
        modprobe ipt_mark
        modprobe ipt_multiport
        modprobe ipt_state
        modprobe ipt_tos
        modprobe iptable_mangle

        ############################
        # Reset delle impostazioni #
        ############################
        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        ################################
        # Impostazione Policy standard #
        ################################
        $IPTABLES -P INPUT   DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT  ACCEPT

        #################################
        # Abilitazione traffico interno #
        #################################
        $IPTABLES -A INPUT  -i $IFLO -j ACCEPT
        $IPTABLES -A OUTPUT -o $IFLO -j ACCEPT

        #############################################################################
        # Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
        #############################################################################
        $IPTABLES -A INPUT -p  tcp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p icmp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A INPUT -p  udp -i $IFEXT -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT

        ###########################################################################################
        # Abilitazione traffico in entrata solo se proveniente dal MacAddress del PC dell'ufficio #
        ###########################################################################################
        $IPTABLES -A INPUT -i eth0 -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

        #################################
        # Loggo in pacchetti in entrata #
        #################################
        #$IPTABLES -A INPUT -j LOG --log-prefix="[INPUT DROP] : "

        ############################################################################################
        # Loggo tutti i pacchetti droppati per effetto delle policies (ad eccezione dei broadcast) #
        ############################################################################################
        $IPTABLES -A INPUT -m pkttype --pkt-type ! broadcast -j LOG --log-level=DEBUG --log-prefix="[INPUT DROP] : "
        
        ########################################################################
        # Aggiungo questa regola in caso di problemi nella politica di DEFAULT #
        ########################################################################
        $IPTABLES -A INPUT -j DROP

        echo "ok"
        ;;

  stop)
        ###########################
        # Disattivazione Firewall #
        ###########################
        echo -n "Disattivazione Firewall: "

        $IPTABLES -F
        $IPTABLES -F -t nat
        $IPTABLES -F -t mangle
        $IPTABLES -X
        $IPTABLES -X -t nat
        $IPTABLES -X -t mangle

        $IPTABLES -P INPUT   ACCEPT
        $IPTABLES -P FORWARD ACCEPT
        $IPTABLES -P OUTPUT  ACCEPT

        echo "ok"
        ;;

  status)
        ##############################
        # Display stato del Firewall #
        ##############################
        echo -n "Regole attuali nel Firewall: "

        $IPTABLES -L
        ;;

  restart|reload)
        $0 stop
        $0 start
        ;;

  *)
        echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
        exit 1
        ;;

esac

exit 0

ciao

[Par]

Ciao Stealth,
  grazie per l'informazione; anche io ero convinto potesse trattarsi di qualcosa tipo icona del meteo od orologio, infatti avevo effettuato una prova disabilitandoli ma l'errore persisteva.
Ora ho provato lo scirpt che mi hai inviato usando BUM per renderlo avviabile e l'errore non si è più presentato.

Forse il problema era dovuto al fatto che invece di usare uno script facevo partire il comando iptables-restore dal file rc.local.
La mia versione è Edgy 6.10; quello che continuo a non capire è come mai sulle versioni KDE e Xubuntu la stessa procedura tramite rc.local non mi dava nessun errore.

Ti ringrazio ancora per la dritta, ora mi metto d'impegno a crearmi uno script che si adatti al meglio al mio notebook.

Ultima domanda: come faccio a chiudere il topic visto che il problema è stato risolto? ci pensi tu come moderatore?

Grazie
Germano

[pierba]

Normalmente i topic non li chiudiamo; ti chiedo però di aggiungere il tag [risolto] nel titolo del primo post; puoi farlo utilizzando il pulsante "modifica" nel tuo primo post.

ciao

[Par]

Grazie Pierba e grazie anche a Gianni per lo script.

Par