Firewall Suse

[canislupus]

Ragazzi avrei bisogno della vostra mano. Ho un programma che deve assolutamente riuscire ad andare su internet. Volevo sapere due cose:

1) Come sapere quale porte di comunicazione necessita per andare all'esterno (sia UDP che TCP)
2) Come configurare il firewall di Suse affinchè lasci aperte queste porte almeno al programma in questione.

Vi ringrazio in anticipo.
Canis

P.S. Non voglio disabilitare il firewall anche se so che così funziona al 100% il programma.

[canislupus]

Nessuno sa aiutarmi ? Possibile che all'interno di Suse non c'è un sistema per permettere ad unìapplicazione di uscire utilizzando tutte le porte che gli servono ? Una specie di firewall sw. Io so che esiste Iptables, ma credo che sia abbastanza difficile da usare (io sono un neofita di linux).

[canislupus]

Possibile che nessuno di voi guru di linux si sia mai posto il problema di fare uscire una singola applicazione in un determinato range di porta ?
Non voglio pensare che l'unico modo per dare la possibilità ad una applicazione di funzionare correttamente sia appunto quello di disabilitare completamente il firewall (vabbè che linux è più sicuro di windows, però è pazzesca una cosa simile).

[canislupus]

Up...
Ma neanche iptables potete aiutarmi a configurare ?

[gio67]

SuseFirewall, specifico di SuSE è uno script che a partire da un file di configurazione (/etc/sysconfig/SuSEfirewall2) "costruisce" le regole di iptables (il firewall vero e proprio).
La cosa migliore è configurare SuseFirewall da YAST. Se non bastano le opzioni che ti propone devi eventualmente "ritoccare" /etc/sysconfig/SuSEfirewall2 a manina (se modifichi il file a mano dopo devi dare : rcSuSEfirewall2 restart).
/etc/sysconfig/SuSEfirewall2 è ben commentato e a mio avviso "self.explaining"; in /usr/share/doc/packages/SuSEfirewall2/EXAMPLES trovi esempi per casi tipici. Alla fine di tutto dai iptables -L per verificare le regole effettivamente impostate.

[canislupus]

Il problema delle opzioni che prevede Suse Firewall tramite Yast non sono adeguate in quanto si tratta sempre di server pop e cose simili. Io invece ho bisogno che un programma riesca ad avere accesso incondizionato su internet. Adesso mi leggo un attimo le faq e il readme in inglese e poi vediamo se riesceo.
Intanto ti ringrazio per la risposta.

[gio67]

...mmm mumble mumble, allora devi andare a modificare il file a mano,
questo è ino stralcio del mio /etc/sysconfig/SuSEfirewall2:


FW_PROTECT_FROM_INTERNAL="yes"
# sbarra tutte le porte sull'interfaccia "interna"
FW_SERVICES_INT_TCP="8080 80 ssh 3128 3185 53 111 110 25"
FW_SERVICES_INT_UDP="8080 80 ssh 3128 3185 53 111 110 25"
# apre sull'interfaccia interna quelle porte TCP/UDP
# aggiungi eventualmente alrte porte

..ocio a dare "controllo incondizionato", apri solo le porte che effettivamente usa!

..have fun

[canislupus]

Senti, ma nel file delle FAQ presente all'interno della cartella di SuSEfirewall2 ho letto questa frase:

Codice:

How do I allow access to my application XYZ on my firewall? 
   Usually you need an entry in FW_SERVICES_EXT_TCP or FW_SERVICES_EXT_UDP. The most common problem is to determine which port the application uses. Let's say you are running an apache web server and want to allow access to it. Execute netstat -tunlp and look for httpd. You will see a line like this: 
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      4497/httpd
 The number 80 is the port you are looking for. In this example put it into FW_SERVICES_EXT_TCP and execute SuSEfirewall2 again.

Cmq è assurdo, ho messo un range di porte assurdo (dalla 1000 alla 60.000 sia come TCP che UDP, sia come EXT che INT) e l'applicazione non riesce ad uscire. Io non capisco come sia possibile che windows abbia dei programmi semplici che ti permettono di dire: "Il programma tal dei tali può uscire senza problemi e aprire qualsiasi porta di comunicazione sia TCP che UDP, mentre su Linux non si può fare se non impazzendo con iptables o sw simili".
Speriamo che sia solo io a non essere capace...

[perfectcircle]

io uso guarddog ed e' semplicissimo da usare

[canislupus]

Si può usare/installare su suse o è solo per debian ?

P.S. Mi autoedito... ho trovato la versione rpm della versione 2.4.0

[canislupus]

Scaricato e installato... Ehm non ci siamo... Purtroppo io ho bisogno proprio di un firewall sw che mi permetta di far uscire un singolo programma (non voglio che abiliti un range di porte, ma che se quel programma gli chiede di aprire 10000 porte tcp o udp in ingresso o uscita, il firewall lo deve fare uscire).
Su windows di firewall sw che fanno queste cose ne esistono migliaia, spero che ne esista uno anche su linux.