Configurazione iptables

kingvi · 08-12-2006, 10:28

Salve a tutti!

Ho letto qualche guida e cercato nel forum stesso prima di postare ma non ho trovato nulla che mi 'ispirasse' come aiuto per quello che ho intenzione di fare.

Vorrei creare delle regole da qui dall'interno e dall'esterno le porte sono tutte chiuse e aprire solamente:
- Vnc (5900);
- Web server (80 o 8080);
- E-mule (4662 e 4672);
- Ftp (21)

Mi pare che possano bastare. Sapete indirizzarmi su qualche guida o darmi qualche dritta in merito?

Grazie!

Johnn · 08-12-2006, 12:15

Io ho creato uno scritp, rc.firewall, e l'ho messo in /etc/rc.d . Per farlo partire all'avvio non ho dovuto fare nulla. Ho slackware. Occhio solo a dare i permessi di esecuzione. E' molto grezzo.

Codice:

#! /bin/sh
#
# rc.firewall
#
if [ $UID != 0 ]; then
  echo -e "\aWARNING: only root can set iptables!"
  exit
fi 

#flushing catene
iptables -F
iptables -Z

#Policy di default

iptables -P INPUT DROP
#iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#--------------REGOLE OUTPUT------------

#Loopback
iptables -I OUTPUT -o lo -j ACCEPT

#icmp
iptables -I OUTPUT -p icmp -j ACCEPT

#dns
iptables -I OUTPUT -p udp --dport domain -j ACCEPT
iptables -I OUTPUT -p tcp --dport domain -j ACCEPT

#web
iptables -I OUTPUT -p tcp --dport http -j ACCEPT
iptables -I OUTPUT -p tcp --dport https -j ACCEPT

#mail
iptables -I OUTPUT -p tcp --dport pop3 -j ACCEPT
iptables -I OUTPUT -p tcp --dport smtp -j ACCEPT

#ftp
iptables -I OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -I OUTPUT -p udp --dport 20 -j ACCEPT
iptables -I OUTPUT -p udp --dport 21 -j ACCEPT
#active mode
#iptables -I OUTPUT -p tcp -m helper --helper ftp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT 
#passive mode
#iptables -I OUTPUT -p tcp -m helper --helper ftp -m state --state RELATED,ESTABLISHED -j ACCEPT


#-------------REGOLE INPUT-------------

#Loopback
iptables -I INPUT -i lo -j ACCEPT

#icmp
iptables -I INPUT -p icmp -j ACCEPT

#dns
iptables -I INPUT -p udp --sport domain -j ACCEPT
iptables -I INPUT -p tcp --sport domain -j ACCEPT

#web
iptables -I INPUT -p tcp --sport http -j ACCEPT
iptables -I INPUT -p tcp --sport https -j ACCEPT

#mail
iptables -I INPUT -p tcp --sport pop3 -j ACCEPT
iptables -I INPUT -p tcp --sport smtp -j ACCEPT

#ftp
iptables -I INPUT -p tcp --sport 20 -j ACCEPT
iptables -I INPUT -p tcp --sport 21 -j ACCEPT
iptables -I INPUT -p udp --sport 20 -j ACCEPT
iptables -I INPUT -p udp --sport 21 -j ACCEPT
#active mode
#iptables -I INPUT  -p tcp -m helper --helper ftp --sport ftp-data -m state --state RELATED,ESTABLISHED -j ACCEPT
#passive mode
#iptables -I INPUT  -p tcp -m helper --helper ftp -m state --state ESTABLISHED -j ACCEPT

Ho eliminato i servizi che ho io e che a te non servono. Se segui la stessa logica puoi aggiungere quello che ti serve. L'unica cosa, è che a me l'ftp NON FUNZIONA! L'ftp è un protocollo che lavora su due connessioni parallele, una di controllo e l'altra di dati e per come ho grezzamente messo le regole non va.

Tieni conto che "sport" significa porta sorgente e "dport" porta destinazione. Per il resto penso sia intuitivo. Se non capisci chiedi.

P.S. Ovviamente il kernel deve essere predisposto a dovere.

kingvi · 08-12-2006, 12:18

Caspita! Mai avrei pensato di dover fare semplicemente un copia/incolla. Ci dò un'occhiata e ti faccio sapere

kingvi · 08-12-2006, 12:38

Giusto per sapere, cosa dovrei impostare a livello kernel? Purtroppo è la prima volta che mi avvicino ad iptables per cui non so praticamente nulla

Johnn · 08-12-2006, 14:06

Come guide io ho letto:

http://www.slacky.it/wikislack/index...sonal_Firewall

http://openskills.info/topic.php?ID=124

http://openskills.info/topic.php?ID=142

Nel terzo link c'è anche quello che deve essere presente nel kernel affinchè tutto funzioni.

Se fai solo copia incolla, però ti perdi un po' il gusto e un po' di cultura sul mondo iptables (che anche io devo approfondire!)

.

kingvi · 08-12-2006, 14:58

Quote:

Originariamente inviato da Johnn

Se fai solo copia incolla, però ti perdi un po' il gusto e un po' di cultura sul mondo iptables (che anche io devo approfondire!)

.

Come darti torto. Per ora non riesco a provarlo ma l'idea era di vedere cosa succede con il copia/incolla e poi cercare di capire ogni singola riga, metti che mi serva fare delle modifiche mica posso chiedere sempre nel forum

08-12-2006, 10:28	#1
kingvi Senior Member Iscritto dal: Sep 2004 Città: Vicenza Messaggi: 474	Configurazione iptables Salve a tutti! Ho letto qualche guida e cercato nel forum stesso prima di postare ma non ho trovato nulla che mi 'ispirasse' come aiuto per quello che ho intenzione di fare. Vorrei creare delle regole da qui dall'interno e dall'esterno le porte sono tutte chiuse e aprire solamente: - Vnc (5900); - Web server (80 o 8080); - E-mule (4662 e 4672); - Ftp (21) Mi pare che possano bastare. Sapete indirizzarmi su qualche guida o darmi qualche dritta in merito? Grazie! __________________ Il mio blog

08-12-2006, 12:18	#3
kingvi Senior Member Iscritto dal: Sep 2004 Città: Vicenza Messaggi: 474	Caspita! Mai avrei pensato di dover fare semplicemente un copia/incolla. Ci dò un'occhiata e ti faccio sapere __________________ Il mio blog

08-12-2006, 12:38	#4
kingvi Senior Member Iscritto dal: Sep 2004 Città: Vicenza Messaggi: 474	Giusto per sapere, cosa dovrei impostare a livello kernel? Purtroppo è la prima volta che mi avvicino ad iptables per cui non so praticamente nulla __________________ Il mio blog

08-12-2006, 14:06	#5
Johnn Senior Member Iscritto dal: May 2004 Messaggi: 1136	Come guide io ho letto: http://www.slacky.it/wikislack/index...sonal_Firewall http://openskills.info/topic.php?ID=124 http://openskills.info/topic.php?ID=142 Nel terzo link c'è anche quello che deve essere presente nel kernel affinchè tutto funzioni. Se fai solo copia incolla, però ti perdi un po' il gusto e un po' di cultura sul mondo iptables (che anche io devo approfondire!) .

Strumenti
Mostra una versione stampabile Invia questa pagina per email