In 3 anni non ci sono mai riuscito a configurarne uno, voi?

cosa ti interessa?

cosa ti interessa?
Su kubuntu uso guarddog ma c'è sempre qualcosa che non va.Per quello mi trovo spesso ad usa distro con firewal preconfezionati.

beh qualcosina ho fatto... (vedi firma)...
se hai bisogno di una mano per un firewall casalingo, no problem...
comunque guarddog firestarter e simili, per un client vanno benissimo

Ma cos'è un thread per sapere quali sono gli utenti più facilmente perforabili? :asd:

Io Iptables l'ho configurato in modo grezzo a mano. L'unica cosa non funzionante è l'ftp. Quando avrò tempo risolverò il problema e metterò regole che tengano conto dello stato della connessione.

Io per esmpio tramite guarddog un po ci riesco, ma alcune cose non c'è modo...tipo inviare file tramite msn.

Io per esmpio tramite guarddog un po ci riesco, ma alcune cose non c'è modo...tipo inviare file tramite msn.
la prima volta che ho usato guardodog nn riuscivo più manco a navigare su internet :D Ci sn troppe cose da sistemare, troppe porte!!! Ho fatto molto prima trasformando il mio modem dlink 302-t in un router cn iètables integrato :sofico:

Io per esmpio tramite guarddog un po ci riesco, ma alcune cose non c'è modo...tipo inviare file tramite msn.

http://www.megalab.it/articoli.php?id=486

io uso quello del router, a cui ho aperto alcune porte strategiche :stordita:

io l'ho sempre lasciato di default tranne per aprire le porte di amule :asd:

io l'ho sempre lasciato di default tranne per aprire le porte di amule :asd:
Ma...io di default proprio non mi fido...secondo me almeno in ubuntu dovrebbe esserci qualcosa di gia configurato.

Mah ... il bravo in assoluto non esiste.

Ci sono i buoni che chiudono, socchiudo, filtrano ...

Ci sono i cattivi che aprono, schiudono, si infiltrano ...

E' tutto un gioco a rincorrersi. E chi è un bit avanti agli altri vince.

E' uno sporco mestiere, ma qualcuno deve pur farlo.

;)

Io per esmpio tramite guarddog un po ci riesco, ma alcune cose non c'è modo...tipo inviare file tramite msn.
vuol dire che devi fare + pratica.
usa firestarter..

vuol dire che devi fare + pratica.
usa firestarter..
Firestarter mi bloccava tutte le connessioni...guarddog ne lascia aperte altre...di pratica ne ho fatta un bel po ma non posso stare una vita a fare pratica su un qualcosa che in teoria dovrebbe essere semplice da fare dato che siamo nel 2007.

GUI facile non significa soluzione facile.

Per impostare un firewall Linux, per come la vedo io, occorre comunque conoscere le basi di iptables ( e questo è solo il primo passo).

Inoltre è fondamentale conoscere due concetti base del Networking.

Infine, il punto più difficile, conoscere le porte usate dai vari programmi.

Aggiungo un parere personale:

se mi chiedessero di installare un firewall e poi mi dicessero: apri la 4662 per emule, apri la 443, la 25, la 103, la 445, icq, msn, yahoo, skype, il mmoprg, ...

beh io gli consiglierei di risparmiarsi i soldi per il mio intervento.

Nel senso che io concepisco un firewall con 3, max 4 porte aperte. Il resto deve essere più chiuso di una cozza siliconata. :D

concordo con WebWolf, più si conoscono le reti e meglio si configura un firewall.

Iptables non è certo semplice (niente di impossibile, solo ci vuole un pochino di impegno per capirlo) ma ha una capacità di controllo veramente impressionante (che le interfacce grafiche coprono solo in piccola parte), oltre al fatto che se serve qualcosa che iptables non fà (e non capita tutti i giorni) possiamo scrivercela a mano appoggiandoci ad iptables stesso.

Firestarter mi bloccava tutte le connessioni...guarddog ne lascia aperte altre...di pratica ne ho fatta un bel po ma non posso stare una vita a fare pratica su un qualcosa che in teoria dovrebbe essere semplice da fare dato che siamo nel 2007.
eddai.. un pò di umiltè! :) guarda, basta che azzeri totalmente la policy e poi metti solo la porta 80 x l'http.. così almeno navighi x cercare le guide :D poi fai partire ogni programma, che so..gaim, skype ecc..vedi che porte richiede dai vari messaggi sulla gui di firestarter, clicchi destro e fai consentire la porta..

Nel senso che io concepisco un firewall con 3, max 4 porte aperte. Il resto deve essere più chiuso di una cozza siliconata.
già, ma sottovaluti la questione psicologica dell'utente medio.. :fagiano: (classe di cui faccio egregiamente parte!)
anche se ormai google vede e provvede ogniddove.. la sensazione di schermare le incursioni di microsoft non ha prezzo

beh, fondamentalmente io mi son letto qualche how to su iptables e un po' di roba su appunti di informatica libera. poi ho messo mano ad iptables facendomi le regolette a manina. ho provato ad usare le gui, ma non ci capivo una ceppa, meglio la cruda command line :)

personalmente chiudo tutto e apro solo ssh e apache (che e' quello che mi serve, attualmente) ma su macchine che amministro e' capitato che ci siano molti piu' servizi (bind, ftp, rsync, svn) che bisogna lasciare accessibili; per alcuni uso anche knock per aprire al volo la port relativa (sui miei server ce l'ho per ssh su cui uso anche accesso esclusivamente con chiave, cosi' gli attacker hanno voglia di fare brute force, la macchina non risponde proprio ghhghg).

suggerimenti? buona lettura e tanto man google.

eddai.. un pò di umiltè! :) guarda, basta che azzeri totalmente la policy e poi metti solo la porta 80 x l'http.. così almeno navighi x cercare le guide

Ma così non naviga!!! :D

Deve consentire almeno anche il servizio dns (client)!

la porta 80 nn serve x navigare.. ti serve se hai un server web a casa... idem x il dns(53)..

la porta 80 nn serve x navigare.. ti serve se hai un server web a casa... idem x il dns(53)..

Ma penso che si parlasse di porte per servizi in uscita, no?

Certo, aprire in entrata la porta 80 non ha senso a meno di avere un server web.

se ho un po di tempo e ovviamente c'e' qualcuno interessato, potrei fare un mini howto per configurarsi il firewall del proprio pc, o per nattare una piccola LAN...

fatemi sapere!

se ho un po di tempo e ovviamente c'e' qualcuno interessato, potrei fare un mini howto per configurarsi il firewall del proprio pc, o per nattare una piccola LAN...

fatemi sapere!

Questi mini-howto sono sempre MOLTO bene accetti...

Le guide in giro per il web son tante, ma non sempre chi ne capisce poco riesce a seguirle!! ;)

Per quanto mi riguarda, quando avevo un modem adsl usavo guarddog e non avevo problemi di sorta, al contrario di firestarter che mi bloccava anche la navigazione.
Poi ho comperato un router con firewall e configuro solo quello!!

Ciauz!!

http://www.mod-xslt2.com/people/ccontavalli/docs-it/iptables/iptables4dummies/iptables4dummies.html#toc2

In 3 anni non ci sono mai riuscito a configurarne uno, voi?

Per i firewall ho sempre usato pf (quello di OpenBSD) ed e' abbastanza semplice da configurare... secondo me molto di piu' di iptables.

Anche per la carenza di malware per GNU/Linux, i "personal firewall" per Windows sono avanti anni luce rispetto a quanto disponibile per Linux (nella loro categoria). Ad esempio il "personal firewall" medio per Windows avvisa quando un'applicazione tenta di trasmettere dati etc. (application firewalling), mentre per Linux non c'è nulla del genere (che mi risulti).

Anche per la carenza di malware per GNU/Linux, i "personal firewall" per Windows sono avanti anni luce rispetto a quanto disponibile per Linux (nella loro categoria). Ad esempio il "personal firewall" medio per Windows avvisa quando un'applicazione tenta di trasmettere dati etc. (application firewalling), mentre per Linux non c'è nulla del genere (che mi risulti).

Mai sentito parlare di log ?

Non è che i firewall di windows avvisano perchè non sono sicuri di quello che stanno facendo e chiedono conferma all'utente ?

Anni luce !

Di solito non tiro flame, ma questa è proprio grossa.

Mai sentito parlare di log ?

Non è che i firewall di windows avvisano perchè non sono sicuri di quello che stanno facendo e chiedono conferma all'utente ?

Anni luce !

Di solito non tiro flame, ma questa è proprio grossa.

Non c'è proprio nulla da tirare.

I log sono una cosa ben diversa e c'entrano ben poco con questo discorso: io sto parlando di application firewalling (in particolare in real-time, ma questa è comunque solo una questione di usabilità). Il "personal firewall" medio per Windows chiede conferma all'utente perchè ovviamente non può essere certo della natura dell'applicazione che tenta di interagire con la rete... cosa comune a qualsiasi applicazione del genere su qualsiasi sistema operativo. Forse tu possiedi firewall con avanzatissimi sistemi di intelligenza artificiale che riescono a capire cosa è bene, cosa è male e cosa vuole o non vuole l'utente da una applicazione? :rolleyes:

Non c'è proprio nulla da tirare.

I log sono una cosa ben diversa e c'entrano ben poco con questo discorso: io sto parlando di application firewalling (in particolare in real-time, ma questa è comunque solo una questione di usabilità). Il "personal firewall" medio per Windows chiede conferma all'utente perchè ovviamente non può essere certo della natura dell'applicazione che tenta di interagire con la rete... cosa comune a qualsiasi applicazione del genere su qualsiasi sistema operativo. Forse tu possiedi firewall con avanzatissimi sistemi di intelligenza artificiale che riescono a capire cosa è bene, cosa è male e cosa vuole o non vuole l'utente da una applicazione? :rolleyes:

è inutile che lo prendi per il culo, tu ti riferivi ai pop-up di richiesta.
lui non aveva inteso in quel senso.
cmq non vorrei dire una cazzata ma mi sembra che ci sia un software che fa quel mestiere.

è inutile che lo prendi per il culo, tu ti riferivi ai pop-up di richiesta.
lui non aveva inteso in quel senso.


I "pop-up di richiesta" sono un modo per configurare l'application firewall (configurazione in run-time potremmo dire), l'alternativa è configurare preventivamente l'application firewall (è più che altro una questione di usabilità come già detto, la sostanza non cambia): diamine bisogna tagliarvele giù col cutter le cose. Poi non so cosa abbia inteso lui, certo che se si parla di application firewalling e lui mi tira fuori i log... mah...


cmq non vorrei dire una cazzata ma mi sembra che ci sia un software che fa quel mestiere.
Cioè?

Cioè?
se mi ricordassi come si chiama lo scriverei, ho anche detto che potrei aver preso un abbaglio. verifico e eventualmente scrivo il nome dell'applicazione.
ok?
devo tagliartele giù col cutter le cose?

se mi ricordassi come si chiama lo scriverei, ho anche detto che potrei aver preso un abbaglio. verifico e eventualmente scrivo il nome dell'applicazione.
ok?
devo tagliartele giù col cutter le cose?

Credo tu capisca da solo l'utilità dello scrivere cose del tipo "forse c'è una cosa che fa questo ma ammesso che esista non mi ricordo come si chiama".

Cioè?

Una opzione di Iptables, da qui: http://openskills.info/topic.php?ID=142

match: string
Permette il match di una stringa nel contenuto di un pacchetto. Di fatto, seppur non è questo l'utilizzo migliore perchè non prevede la conoscenza della logica del protocollo, permette filtering a livello applicativo.
Esempio classico per loggare CodeRed e affini (notare che non esclude falsi positivi): iptables -I INPUT -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe" -j LOG
Voce nel kernel .config: CONFIG_IP_NF_MATCH_STRING
Nome modulo: ipt_string

So anche di un altro programma, ma non riesco a ricordare il nome :muro: .

Una opzione di Iptables, da qui: http://openskills.info/topic.php?ID=142

Potrei sbagliarmi, ma quell'opzione serve appunto per cercare una determinata stringa all'interno di un pacchetto (es. anche il nome di un file), non c'entra molto con l'application firewalling. Tra l'altro anche c'entrasse qualcosa (ma non mi sembra proprio quindi parlo in senso generale) il fatto che il controllo venga eseguito sulla stringa del nome di un programma è assolutamente fallace, al limite bisognerebbe guardare l'hash dell'eseguibile.


So anche di un altro programma, ma non riesco a ricordare il nome :muro: .
:D

Potrei sbagliarmi, ma quell'opzione serve appunto per cercare una determinata stringa all'interno di un pacchetto (es. anche il nome di un file), non c'entra molto con l'application firewalling. Tra l'altro anche c'entrasse qualcosa (ma non mi sembra proprio quindi parlo in senso generale) il fatto che il controllo venga eseguito sulla stringa del nome di un programma è assolutamente fallace, al limite bisognerebbe guardare l'hash dell'eseguibile.


Infatti anche nella descrizione è un utilizzo improprio, ma mi era stato segnalato in un altro forum come risposta ad una domanda simile.


:D

Quello che avevo in mente è:

http://www.snort.org/

Snort è un IDS, cioè un Intrusion Detection System. In pratica è un programma che consente di rilevare eventuali tentativi di intrusione in un sistema, tramite il confronto delle "impronte" dei pacchetti di rete in arrivo e quelle conservate in un database (rules). Rilevata un'attività sospetta può svolgere sia compiti di registrazione che di avviso all'amministratore. NON SVOLGE COMPITI DI DIFESA ATTIVA, a differenza dei firewall, che quindi rimangono a carico di altre applicazioni.
ma da http://sicurezza.html.it/articoli/leggi/961/snort-per-linux/

Credo tu capisca da solo l'utilità dello scrivere cose del tipo "forse c'è una cosa che fa questo ma ammesso che esista non mi ricordo come si chiama".
credo che tu capisca da solo che rispondere "cioè" mi aiuta moltissimo nel chierirmi questo dubbio. :doh:

Infatti anche nella descrizione è un utilizzo improprio, ma mi era stato segnalato in un altro forum come risposta ad una domanda simile.

Si ma non solo è improprio... non ha proprio nulla a che fare con il concetto di application firewalling.


Quello che avevo in mente è:

http://www.snort.org/


ma da http://sicurezza.html.it/articoli/leggi/961/snort-per-linux/
Snort è un Intrusion Detection System (IDS) non un application firewall, non definisce policy sulle porte, protocolli etc. che le singole applicazioni possono utilizzare, ma analizza i pacchetti in transito (indipendentemente dall'applicazione che le genera): è ben diverso.

Tuxguardian (http://tuxguardian.sourceforge.net/)
oppure ci si smazza con iptables e una sequela infinita di regole basate su --cmd-owner

P.S.
Snort è un IDS.

credo che tu capisca da solo che rispondere "cioè" mi aiuta moltissimo nel chierirmi questo dubbio. :doh:

Io avevo già scritto che non mi risultava ne esistessero, dovrei essere io a dirti il nome di una cosa che non ti ricordi nemmeno se esiste? Va be'... ciao ;)

Tuxguardian (http://tuxguardian.sourceforge.net/)

Questo (che non conoscevo) sembra già un buon inizio. Ti ringrazio per la segnalazione.

oppure ci si smazza con iptables e una sequela infinita di regole basate su --cmd-owner

Questo è già meno appropriato, ora occhio bene "TuxGuardian".

Ok ho letto un po' di documentazione, sembra che si possa al massimo permettere/negare l'accesso delle applicazioni ad Internet, ma nulla di più granulare (specificare porte, protocolli, indirizzi etc.). Diciamo che l'idea è buona, ma ancora nulla rispetto alle corrispettive applicazioni per Windows.

Se si appoggiasse bene questo TuxGuardian ad iptables potrebbe uscirne un buon progettino.

ci sono le patch layer7 (quello applicazione) di iptables.

eccoti il link: http://l7-filter.sourceforge.net/

credo sia quello che cerchi, anche se non proprio in toto...

ciao! :)

ci sono le patch layer7 (quello applicazione) di iptables.

eccoti il link: http://l7-filter.sourceforge.net/

credo sia quello che cerchi, anche se non proprio in toto...

ciao! :)

No è diverso... questo è per identificare i pacchetti utilizzati da varie note applicazioni, non ha funzionalità di application firewall. La cosa più simile sembra appunto TuxGuardian che però è molto limitato.

a questo punto la domandina è d'obbiligo, su linux le porte per le connessioni sono di base chiuse e si aprono su richiesta o come su windows mi trovo una serie di porte aperte e necessito di configurare un firewall ?

Sul forum Ubuntu c'è stata una lunga discussione al termine della quale si è sostanzialmente detto che salvo necessità particolari il firewall non è necessario, e salvo partizioni comuni con win anche un antivirus non è fondamentale (causa la carenza di virus pensati per linux).

Insomma devo imparare firestarter e IPtables ?

a questo punto la domandina è d'obbiligo, su linux le porte per le connessioni sono di base chiuse e si aprono su richiesta o come su windows mi trovo una serie di porte aperte e necessito di configurare un firewall ?

Sul forum Ubuntu c'è stata una lunga discussione al termine della quale si è sostanzialmente detto che salvo necessità particolari il firewall non è necessario, e salvo partizioni comuni con win anche un antivirus non è fondamentale (causa la carenza di virus pensati per linux).

Insomma devo imparare firestarter e IPtables ?

:| direi che questo conferma la teoria che "sempre meglio informarsi da + fonti" non è che "le porte sono aperte di default", di default il firewall (iptables) lascia passare tutto, sta a noi decidere come configurarlo. Il firewall serve, fossi in tè mi studierei il funzionamento di iptables.

Per la discussione sul personal-firewall, purtroppo è vero, su linux siamo parecchio indietro rispetto ai personal-firewall win. C'è di buono che, come ho già scritto in precedenza, iptables ha un target che permette di gestire i pacchetti in user-space (QUEUE e NFQUEUE) quindi è possibile scriversi la propria applicazioncina che gestisce le connessioni che vogliamo nel modo che preferiamo, anche chiedendo cosa fare all'utente in "real-time". Attualmente è in corso la riscrittura di questa parte (utilizzando nuove librerie), volevo scrivere qualcosa del genere ma ho fatto solo alcuni test basandomi sui codici d'esempio inclusi nei sorgenti, poi ho deciso di aspettare la pubblicazione di documentazione e mi son dedicato ad altro.
Come funzionalità è potentissima, permette di controllare qualsiasi cosa vogliamo (librerie, memoria, owner, file descritpor... insomma, possiamo controllare tutto quello che vogliamo prima di decidere se accettare o meno il pacchetto) peccato che, almeno per quanto ne sappia io, non esiste ancora programma che la sfrutti per creare un personal-firewall come si deve.

a questo punto la domandina è d'obbiligo, su linux le porte per le connessioni sono di base chiuse e si aprono su richiesta o come su windows mi trovo una serie di porte aperte e necessito di configurare un firewall ?

Le porte sono sempre "chiuse", si "aprono" quando un software le utilizza e questo è valido sia su GNU/Linux che su Windows. Su Windows alcune porte sono aperte di default (se non ci sono firewall attivi che le "chiudono" attraverso determinate policy) perchè di default alcuni servizi ne fanno uso. Con GNU/Linux dipende bene o male dalla distribuzione se ci sono servizi di default che fanno uso di determinate porte e le soluzioni possono essere:

1) Disattivi il servizio
2) Ne restringi il "comportamento" attraverso un firewall

Questo è valido sia su Windows che su GNU/Linux.

Comunque sto guardando il codice di TuxGuardian, sembra abbastanza semplice secondo me migliorarlo potrebbe essere un lavoro fattibile.

Una figata sarebbe fare una interfaccia grafica GTK semplice (in stile nuovo pannello di controllo di GNOME con la barra laterale) che gestisca ip_tables (magari si potrebbe scopiazzare da Firestarter), Snort (anche senza interfaccia grafica di configurazione... per l'utente comune bastano delle regole predefinite con pulsante attiva/disattiva), un modulo stile TuxGuardian (sviluppando quello di TuxGuardian appunto) ed un anti-rootkit stile rkhunter o chkrootkit. Volendo esagerare si potrebbe piazzare anche ClamAV ma per una linux box lo ritengo abbastanza superfluo, i pochi malware per GNU/Linux vengono già rilevati dagli anti root-kit. Potrebbe essere un buon inizio per anticipare la possibile futura diffusione di malware per Linux.

Una figata sarebbe fare una interfaccia grafica GTK semplice (in stile nuovo pannello di controllo di GNOME con la barra laterale) che gestisca ip_tables (magari si potrebbe scopiazzare da Firestarter), Snort (anche senza interfaccia grafica di configurazione... per l'utente comune bastano delle regole predefinite con pulsante attiva/disattiva), un modulo stile TuxGuardian (sviluppando quello di TuxGuardian appunto) ed un anti-rootkit stile rkhunter o chkrootkit. Volendo esagerare si potrebbe piazzare anche ClamAV ma per una linux box lo ritengo abbastanza superfluo, i pochi malware per GNU/Linux vengono già rilevati dagli anti root-kit. Potrebbe essere un buon inizio per anticipare la possibile futura diffusione di malware per Linux.

TuxGuardian non lo conosco, ora non ho tempo di guardarci, cosa usa per interfacciarsi ad iptables? QUEUE o via "comandi shell-Like"?

TuxGuardian non lo conosco, ora non ho tempo di guardarci, cosa usa per interfacciarsi ad iptables? QUEUE o via "comandi shell-Like"?

Si vedrà... forse la prima sarebbe più pulita, se mai guardo come fa Firestarter.