Linux Firewalling

[NighT*HaWk]

Ciao a tutti gente, volevo discutere con voi e sapere la vostra opinione sulle possibili soluzioni firewall con linux (rimanendo sempre su distro free).
Obiettivo: firewall x piccole medie aziende.
Attualmente usiamo dei pc con la cara e vecchia fidata Trustix 1.5, kernel 2.2, IPCHAIN....un bellissimo script tunato alla perfezione, e molto semplice da modificare e quindi intervenirci anche da remoto via ssh.
Problema....sugli attuali pc ovviamente si deve abbandonare il vecchio kernel 2.2.....mi ha gia' dato piu' di una volta problemi in fase di installazione o seplicemente la macchina non boota. andando avanti di kernel si deve usare IPTABLES, che pero' non conosco e a un primo sguardo sembra molto piu' ostico di ipchain. quindi voledo mettere in piedi un fw manutenibile da remoto ma .. sempre rimanendo senza interfaccia grafica sulla macchina fw (quindi evitando se possibile fw builder, che mi e' sembrato ottimo come opzioni disponibili e facilita' d'uso ma poco comodo per mantenere script di piu' firewall da remoto.....insomma se si ha bisogno di una modifica rapida bisogna gia' fare tutta una serie di passaggi nn troppo comoda ... ) cosa mi consigliate??
io ho valutato bene l'opzione shorewall + webmin....forse l'unica che mi ha dato risultati soddisfacenti in rapporto tempo di intervento / semplicita' / sicurezza.........
che mi dite... cosa usate voi??? via con i consigli

[Scoperchiatore]

iptables non è più ostico, è solo più ricco. Come fw è ottimo, a meno di filtering sul content,che non so se sia già supportato in pieno.

Se devi fare firewalling a livello 2-3-4-5, con iptables fai tutto. Se devi esaminare i pacchetti TCP/UDP e quindi fare firewalling a livello 6-7 (esistono anche 8-9 secondo alcuni), devi usare qualcosa di più potente, oppure moduli di iptables opportunamente sviluppati.

E' manutenibilissimo da remoto, a meno di fare la cazzata di chiudersi le porte, ovviamente

[NighT*HaWk]

Quote:

Originariamente inviato da Scoperchiatore

iptables non è più ostico, è solo più ricco. Come fw è ottimo, a meno di filtering sul content,che non so se sia già supportato in pieno.

Se devi fare firewalling a livello 2-3-4-5, con iptables fai tutto. Se devi esaminare i pacchetti TCP/UDP e quindi fare firewalling a livello 6-7 (esistono anche 8-9 secondo alcuni), devi usare qualcosa di più potente, oppure moduli di iptables opportunamente sviluppati.

E' manutenibilissimo da remoto, a meno di fare la cazzata di chiudersi le porte, ovviamente

quello che mi serve e' solo.....bloccare TUTTO in ingresso di default tranne qualche servizietto a una white list di clienti, nessun limite in uscita, qualche nat.....insomma na roba semplice!!
il problema e' che spesso e volentieri devo andare a fare ritocchini, aggiunte da remoto e magari solo da ssh nn riuscirei ad andarmi a modificare uno script creato da fw builder per esempio.
per questo chiedevo se c'era qualche altro tool + flessibile o.....se sai darmi qualche indicazione di un buon script ip tables da cui partire......
THX!

[darkestsky]

Quote:

Originariamente inviato da NighT*HaWk©

quello che mi serve e' solo.....bloccare TUTTO in ingresso di default tranne qualche servizietto a una white list di clienti, nessun limite in uscita, qualche nat.....insomma na roba semplice!!
il problema e' che spesso e volentieri devo andare a fare ritocchini, aggiunte da remoto e magari solo da ssh nn riuscirei ad andarmi a modificare uno script creato da fw builder per esempio.
per questo chiedevo se c'era qualche altro tool + flessibile o.....se sai darmi qualche indicazione di un buon script ip tables da cui partire......
THX!

Prova ad usare Shorewall: è più semplice di IPTables ma permette di fare quello che ti serve.

[WebWolf]

Puoi usare distribuzioni 'ad hoc'.

Tipo Smootwall, IpCop o Monowall.

Le prime due si basano su lInux, l'ultima su BDS.

Smoothwall si puo' configurare per essere gestita via ssh.

[Scoperchiatore]

Se vuoi ti passo il mio firewall. E' mediamente commentato, quindi qualcosa è chiara. Altre cose si intuiscono facilmente.

Io faccio più o meno quello che fai tu, quindi...

Codice:

#!/bin/bash
##########################
# VARIABLE CONFIGURATION
##########################
# Path to modprobe
MODPROBE=/sbin/modprobe

ROUTER=192.168.1.1
PORTATILE_W=192.168.1.2
CASA=192.168.1.3
ME=192.168.1.4
PORTATILE=192.168.0.15

# space separed list of application names (command line names)
# that can send outgoing packets to non-standard ports
#### no longer use. Check "iptables content filtering" for support
TRUSTED_APPS="amule"

#################################
# Load the needed kernel modules
#################################
# This is needed to enable FTP tracking
#$MODPROBE ip_conntrack_ftp



# Clean the table
iptables -F

#Cleaning the FIREWALL chain
iptables -L | grep FIREWALL > /dev/null
if [ $? = 0 ]
then
	iptables -X FIREWALL >/dev/null 
fi

iptables -N FIREWALL


# Drop anything if unspecified
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Create a new rule FIREWALL and set it as the only INPUT rule
iptables -A INPUT -j FIREWALL


# Accept packets from connections locally initiated
iptables -A FIREWALL -p tcp -m state  			--state ESTABLISHED,RELATED 	-j ACCEPT
iptables -A FIREWALL -p udp -m state 		 	--state ESTABLISHED 		-j ACCEPT
iptables -A FIREWALL -p icmp -m state  			--state ESTABLISHED		-j ACCEPT

# Allow basic output packets/connections:
# FTP-DATA	20
# FTP		21
# SSH		22
# TELNET	23
# SMTP		25
# HTTP		80
# POP3		110
# NETBIOS	139
# HTTPS		443
# SAMBA		445
# SMTP-TLS	995
# PROXY		8080
# CVS		2401
# RSYNC		873

iptables -A OUTPUT -p tcp -m multiport --dports 20,21,22,23,25,80,110,139,443,445,995,873  		-j ACCEPT
iptables -A FIREWALL -p tcp -m multiport --dports 20,21,22,23,25,80,110,139,443,445,995,873	  	-j ACCEPT

#Allow passive ftp transfers
iptables -A OUTPUT -p tcp -m state --dport 1024: 	--state ESTABLISHED,RELATED 		-j ACCEPT

# Optional outgoing packets/connections allowed
# EMULE		4662 
# JABBER	5222 
# BGPLAY	21173
iptables -A OUTPUT -p tcp -m multiport --dports 5222,21173  -j ACCEPT

# Allow outgoing icmp
iptables -A OUTPUT -p icmp -j ACCEPT

# Allow outgoing UDP  packets (enables DNS resolution and traceroute)
iptables -A OUTPUT -p udp -j ACCEPT

# Allow incoming TIME_EXCEEDED ICMP packets (enable traceroute)
iptables -A FIREWALL -p icmp --icmp-type time-exceeded -j ACCEPT

# Allow trusted apps
# for i in $TRUSTED_APPS; do
# 	iptables -A OUTPUT -m owner -p tcp --cmd-owner $i -j ACCEPT;
# done;

# If executed with -r, enable routing of known IPs
if [ "$1" == -r ]
then	##### http://en.tldp.org/HOWTO/IP-Masquerade-HOWTO/mtu-issues.html
	iptables -t nat -F POSTROUTING	
	iptables -t nat -F PREROUTING	
	iptables -t nat -F OUTPUT	
	iptables -t nat -P POSTROUTING ACCEPT
	iptables -t nat -P PREROUTING ACCEPT
	iptables -t nat -P OUTPUT ACCEPT
	iptables -I FORWARD -j FIREWALL	
	iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
	iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
	
	# Abilita al forwarding esclusivamente gli indirizzi amici:
	# Portatile
	iptables -I FORWARD -s 192.168.0.15 -j ACCEPT

	echo 1 > /proc/sys/net/ipv4/ip_forward
	echo "Forwarding is ENABLED"	
fi


# Be sure that some "dangerous" services are blocke if not to/from a friendly PC 
SERVICES_NOT_ALLOWED_OUT=445,139

iptables -I OUTPUT 	-o eth0 	-p tcp 		-m multiport --sports $SERVICES_NOT_ALLOWED_OUT	-j DROP

iptables -I FIREWALL 	-i eth0		-p tcp 		-m multiport --dports $SERVICES_NOT_ALLOWED_OUT	-j DROP

iptables -I OUTPUT 	-o ppp0 	-p tcp 		-m multiport --sports $SERVICES_NOT_ALLOWED_OUT	-j DROP

iptables -I FIREWALL 	-i ppp0		-p tcp 		-m multiport --dports $SERVICES_NOT_ALLOWED_OUT	-j DROP



# Allow communications with ROUTER
iptables -I FIREWALL -s $ROUTER -j ACCEPT
iptables -I OUTPUT -d $ROUTER -j ACCEPT

# Allow communications with PORTATILE when connected via wi-fi
iptables -I FIREWALL -s $PORTATILE_W -j ACCEPT
iptables -I OUTPUT -d $PORTATILE_W -j ACCEPT

# Allow communications with CASA
iptables -I FIREWALL -s $CASA -j ACCEPT
iptables -I OUTPUT -d $CASA -j ACCEPT

# Allow communications with PORTATILE
iptables -I FIREWALL -s $PORTATILE -j ACCEPT
iptables -I OUTPUT -d $PORTATILE -j ACCEPT

# Open completely to loopback
# iptables -A FIREWALL -p all -i 127.0.0.1 -j ACCEPT
# iptables -A OUTPUT -p all -o 127.0.0.1 -j ACCEPT

[doomsday]

m...guarda che i firewall sotto linux non servono a niente...sopratutto danno solo una falsa sensazione di potrezione..
se monti come si deve un server non ti serve manco un firewall..anche io li uso ...ma non per protegermi..
se tu monti un server e voi protegerlo da attacho DOS per esempio cosa fai?? useresti iptablese ho firewall simili per protegerti ...sbagliato ..basta impostare i limiti delle risorse dell server..
se tu voi chiudere le porte di un server come fai?? useresti un firewall per chiuderle ecc.
e anche qui sbagliato ..perche le porte che si chiudono si possono sempre aprire
quindi invece di usare un firewall per chiudere le porte io disintallo tutti i servizi che non mi servono e poi per sicurezza deseleziono i servizzi in /etc/services .
e cosi per tutto il resto...
Il firewall ci aiutano nella sicuezza ma non sono il punto di forzza per linux..se sai amministrare bene un server linux poi anche farne a meno...quindi usali ma non farci tanto affidamento ...

[Scoperchiatore]

Quote:

Originariamente inviato da doomsday

m...guarda che i firewall sotto linux non servono a niente...sopratutto danno solo una falsa sensazione di potrezione..
se monti come si deve un server non ti serve manco un firewall..anche io li uso ...ma non per protegermi..
se tu monti un server e voi protegerlo da attacho DOS per esempio cosa fai?? useresti iptablese ho firewall simili per protegerti ...sbagliato ..basta impostare i limiti delle risorse dell server..
se tu voi chiudere le porte di un server come fai?? useresti un firewall per chiuderle ecc.
e anche qui sbagliato ..perche le porte che si chiudono si possono sempre aprire
quindi invece di usare un firewall per chiudere le porte io disintallo tutti i servizi che non mi servono e poi per sicurezza deseleziono i servizzi in /etc/services .
e cosi per tutto il resto...
Il firewall ci aiutano nella sicuezza ma non sono il punto di forzza per linux..se sai amministrare bene un server linux poi anche farne a meno...quindi usali ma non farci tanto affidamento ...

Chiudere i servizi è sicuramente un passo importante, ma non è che serve solo quello. Se lui vuole fare content filtering, come fa? Se vuole filtrare esplicitamente degli IP, che si inventa? Se deve "tutelarsi" da un programma non free, come fa se non con un firewall?

Secondo me il firewall è un importante strumento, ovviamente non l'unico, per accertarsi della sicurezza del PC.

[doomsday]

ti sei risposto da solo..
gli esempi che ai fatto non dimostrano niente..sei solo riuscito a dimostrare che i firewall vengono usati per filtrare i pachetti...ma non che ci difendono......calcola che non è impossibile far cadere un firewall ..e se ci si riesce che sucede??'allora ritorna il discorso di prima ..far in modo che il server possa essere imune da chi tenta di acedere senza permesso anche senza firewall..cmq sto discorsso vale solo per i fierewall Linux..perche invece con Windows è un'altro discorso...sono due pensieri diversi .

scusa la mia ignoranza ma cosa vol dire :

Se deve "tutelarsi" da un programma non free, come fa se non con un firewall?

non o capito a cosa ti riferisci ...

cmq non voglio dire che non servono a niente..solo che voglio smentire la ideea di sicurezza con i firewall..
io li trovo utili per aiutarci nella amministrazione di un server .

[Scoperchiatore]

Quote:

Originariamente inviato da doomsday

ti sei risposto da solo..
gli esempi che ai fatto non dimostrano niente..sei solo riuscito a dimostrare che i firewall vengono usati per filtrare i pachetti...ma non che ci difendono......calcola che non è impossibile far cadere un firewall ..e se ci si riesce che sucede??'allora ritorna il discorso di prima ..far in modo che il server possa essere imune da chi tenta di acedere senza permesso anche senza firewall..cmq sto discorsso vale solo per i fierewall Linux..perche invece con Windows è un'altro discorso...sono due pensieri diversi .

Bah, io il firewall lo considero importante anche su Linux per un desktop PC. Per un server PC, quante varianti d'uso puoi trovare? Se vuoi restringere gli accessi al forwarding su http 80 via MAC o IP come fai? Se ti scrivi un programmino client/server banale per una tua applicazione, perchè aggiungerci tutto un modulo per la verifica di identità se hai già un firewall?
Ti rendi conto che gli esempi sono tanti, no?

Quote:

scusa la mia ignoranza ma cosa vol dire :

Se deve "tutelarsi" da un programma non free, come fa se non con un firewall?

non o capito a cosa ti riferisci ...

Se per colpa di qualcuno devo installare un programma closed, che ne so quello che va a fare su internet? Dato che è closed, probabilmente non posso settarlo in modo esaustivo, e quindi dovrò bloccarlo forzatamente con un firewall. Come succede in Windows, in cui non è spesso per colpa dei bug di sicurezza che uno installa un firewall, ma per colpa di programmi maliziosi che agiscono da spyware/trackers.

Quote:

cmq non voglio dire che non servono a niente..solo che voglio smentire la ideea di sicurezza con i firewall..
io li trovo utili per aiutarci nella amministrazione di un server .

Anche io penso che non siano la cosa più importante, però talvolta sono fondamentali. Dipende sempre da cosa stai mettendo nel server e a cosa serve quel server.

[doomsday]

Quote:

Se per colpa di qualcuno devo installare un programma closed, che ne so quello che va a fare su internet? Dato che è closed, probabilmente non posso settarlo in modo esaustivo, e quindi dovrò bloccarlo forzatamente con un firewall. Come succede in Windows, in cui non è spesso per colpa dei bug di sicurezza che uno installa un firewall, ma per colpa di programmi maliziosi che agiscono da spyware/trackers.

cmq anche qua fai molta confusione....vabe me sa che stai sparando alla grande cavolate..scusa se te lodico ...ancora non vedo dove sta il problema di sicurezza..e sopratutto cosa centrano gli spyware con i fierewall....poi sta storia dei propgrammi closed non mi convince tanto ...e poi non capisco il ragionamento dei firewall di windows...guarda che è tutto il contrario ..si installa un fierewall window per difendersi a causa di buchi ecc...( anche se come lo spiegato adesso non è esatto pero passateme il termine )
il firewall non impedira a nessuno di mandarti spyware ne ha bloccarli...fai confusione con antivirus/atitroyan ecc... ho capito ragazzi che ve sto sull cavolo pero non dovete per forza andarmi contro anche quando non sapete cosa dire....

[WebWolf]

Io 'un paio di volte' un firewall li ho installati e configurati.

Però non ho mai sentito che non servono a nulla.

Un fw non filtra solo i pacchetti, ma chiude anche porte che spesso su sistemi windows sono aperte.

Inoltre indirizza, blocca e nasconde.

E spesso si sascrifica per il bene della rete che sta proteggendo.

Poi, ovvio, che se uno per 'firewall' intende Zone Alarm ...

[doomsday]

a parte che si parlava principalmente di firewall linux è non di windows....
poi pensatela come ve pare...

[Scoperchiatore]

Quote:

Originariamente inviato da doomsday

cmq anche qua fai molta confusione....vabe me sa che stai sparando alla grande cavolate..scusa se te lodico ...ancora non vedo dove sta il problema di sicurezza..e sopratutto cosa centrano gli spyware con i fierewall....poi sta storia dei propgrammi closed non mi convince tanto ...

Allora, oggi ti faccio un programmetto in C per editare i tag MP3. Dentro ci metto una socket UDP che si connette al mio PC e mi manda ogni titolo MP3 che editi.

Se ti dò il sorgente, tu capisci subito quello che ho fatto
Se non te lo dò, o controlli specificatamente, o non lo capisci.

Se blocchi l'accesso UDP alle applicazioni "untrusted" tramite firewall, hai risolto

Ti è chiaro, ora? Perchè ti risulta strano che un software closed può essere malizioso?
IntelliJ in Windows si connetteva a un sito. Perchè, dato che era un editor per Java?

Non cambia dove sei, Windows o Linux: se il software è closed, non potrai MAI essere sicuro di quel che fa. E potrebbe nascondere varie cose, da trojan a spyware.

Quote:

e poi non capisco il ragionamento dei firewall di windows...guarda che è tutto il contrario ..si installa un fierewall window per difendersi a causa di buchi ecc...( anche se come lo spiegato adesso non è esatto pero passateme il termine )

A me fregava poco dei bug di vulnerabilità. Io volevo che un programma che dice di essere client FTP (Ws FTP pro) facesse il client FTP e non il client HTTP (come difatti faceva, dato che si collegava ad un IP sulla porta 80!)
Stessa cosa dicasi per lo stesso Windows: non volevo che scvhost mandasse in giro pacchetti UDP di cui non sapevo lo scopo nè il contenuto.
Il firewall a livello 7 blocca queste cose. A livello 5 ovviamente no.

Quote:

il firewall non impedira a nessuno di mandarti spyware ne ha bloccarli...

... Se chiudo tutte le mie porte, come mi mandi qualcosa?

Quote:

fai confusione con antivirus/atitroyan ecc... ho capito ragazzi che ve sto sull cavolo pero non dovete per forza andarmi contro anche quando non sapete cosa dire....

Io non ho capito se stai restringendo il contesto, non pensando a varianti sul discorso "amministrazione server" oppure se semplicemente la fai troppo semplice.

Comunque, un consiglio, indipendente dalla materia di cui discutiamo e dalle divergenti opinioni: so di essere fuori luogo e odioso, ma impara a usare gli ausiliari! Scrivere "ho" al posto di "o" denota un problema linguistico un po' troppo pesante...

[eolus]

il ragazzo sicuramente ha un po di confusione in testa

[doomsday]

ma ce lai con me???

non avete capito un cazzo...
quindi manco mi sforzzo a spiegarmi piu di tanto..
cmq ragazzi se famo tutti li esempi di sti mondo allora alla fine arriviamo alla conclisione che nessun server è sicuro e quindi è meglio staccare la spina...ecc

io ho solo detto che un server unix se amministrato bene non ha bisogno di firewall per proteggersi ...
poi ci sono cose che solo un firewall puo fare ecc..e manco ci volgio stare a diascutere..ma dire che su unix serve un fierewall per protegersi sono tutte cazzate..... senza contare che io tutte le volte che bucavo i server sfruttavo i bug dei firewall..e come fanno in tanti ...sentendosi sicuri dei loro firewall non anno amministrato a dovere i loro server...cosa voglio dire con questo??' che un fierewall è un servizio he anche lui ciai buchi ...quindi è una cosa in piu da tenere sotto controllo..

cmq sono 10 anni che sono nell settore sicurezza e sentirmi dire che cio confusione mi fa incazzare ....sopratutto da uno che non capiscie un cazzo....ho che vole far finta di non aver capito il discorso che volevo fare....fanculo brutto stronzzo....pezzo di merda..tua madre succhia i cazzi per vivere..... e questo vale anche per il coglione che ma rotto il cazzo su come scrivere..pezzo di merda..fottuto bastardo ...ti sbobbo in qulo pezzo di feccia.....

[Scoperchiatore]

Quote:

Originariamente inviato da doomsday

ma ce lai con me???

non avete capito un cazzo...
quindi manco mi sforzzo a spiegarmi piu di tanto..
cmq ragazzi se famo tutti li esempi di sti mondo allora alla fine arriviamo alla conclisione che nessun server è sicuro e quindi è meglio staccare la spina...ecc

io ho solo detto che un server unix se amministrato bene non ha bisogno di firewall per proteggersi ...
poi ci sono cose che solo un firewall puo fare ecc..e manco ci volgio stare a diascutere..ma dire che su unix serve un fierewall per protegersi sono tutte cazzate..... senza contare che io tutte le volte che bucavo i server sfruttavo i bug dei firewall..e come fanno in tanti ...sentendosi sicuri dei loro firewall non anno amministrato a dovere i loro server...cosa voglio dire con questo??' che un fierewall è un servizio he anche lui ciai buchi ...quindi è una cosa in piu da tenere sotto controllo..

cmq sono 10 anni che sono nell settore sicurezza e sentirmi dire che cio confusione mi fa incazzare ....sopratutto da uno che non capiscie un cazzo....ho che vole far finta di non aver capito il discorso che volevo fare....fanculo brutto stronzzo....pezzo di merda..tua madre succhia i cazzi per vivere..... e questo vale anche per il coglione che ma rotto il cazzo su come scrivere..pezzo di merda..fottuto bastardo ...ti sbobbo in qulo pezzo di feccia.....

Ehi, mia madre ringrazia
Comunque, io continuo a usare i firewall e a settare bene i miei applicativi. Il succo del mio discorso era che ritengo entrambi necessari

[WebWolf]

Gli insulti sono l'arma di chi non ha ragione.

Aurevoire.

[Devil!]

Quote:

Originariamente inviato da doomsday

...CUT...

segnalato

chissà come mai, ma era già in ignore list...

Per il resto son d'accordo con Scoperchiatore: il firewall è necessario anche se si ha cura di tenere tutti i servizi in modo opportuno e aggiornati

[B3nd3r]

Cavolo ragazzi calmatevi.
Avete ragione in parte tutti. Se vi calmate probabilmente vi renderete conto che nessuno di voi ha detto stupidaggini.
Quando doomsday dice che è molto importante fare hardening della macchina configurando i vari servizi ha ragione e ha ragione anche quando dice che i firewall danno la falsa sensazione della sicurezza. Un firewall è però importante ed è un ulteriore ostacolo per chi cerca di bucare un server se ben configurato. Quindi tornando al post io ti consiglio di creare un serverino con un bel kernel della serie 2.4, magari l'ultimo 2.4.33.3 (al momento in cui scrivo) e poi di configurare i vari servizi cercando di abilitare solo ciò che effettivamente ti serve.