iptables su Mandrake 8.2: come???

[NZ]

Da perfetto novellino di Linux vorrei chiedervi
qualcosina sulla sicurezza di questo OS.
La mia distro è Mandrake 8.2 e mi collego con 56k.
Il PC non è in una LAN.

chiusura porte di sistema:
dopo aver letto il seguente:
http://www.linuxzine.it/tutorial.php
ho scaricato e instalalto nmap!
L'output del comando nmap -sS 127.0.0.1 è:

The 1599 ports scanned but not shown below are in state closed.
Ports State Service
111/tcp open sunrpc
6000/tcp open x11

Sinceramente pensavo di ottenere un listato più grosso
ma quando vado a cercare il file /ect/inetd.conf segnalato
nell'articolo scopro che non esiste Mah!
Passo poi ai "servizi avviati tramite init" e scopro
che il programma kinit suggerito nel link
su Mandrake non c'è..(almeno io non l'ho visto..) ri-Mah!
Qualcuno che ha configurato questa roba potrebbe
darmi qualche dritta su come procedere? Please

configurare iptables:
prendendo spunto da:
http://www.linuxzine.it/iptables.php
ho scritto le regole di un semplicissimo firewall
(vedi allegato) che blocca tutto tranne http,https,
ftp,pop3,smtp,dns.
Purtroppo vista la totale inesperienza avrò fatto
sicuramente errori
Avrei bisogno di 2 grossi favori:
1) un controllino del mio allegato con segnalazione
errori e possibili correzioni.
2) sapere come implementare un tale firewall,cioè
come renderlo operativo ad ogni boot della macchina.
(al momento non saprei proprio che fare....)

Grazie mille per ogni aiutino
Ciao

[ilsensine]

Quote:

The 1599 ports scanned but not shown below are in state closed.
Ports State Service
111/tcp open sunrpc
6000/tcp open x11

Se queste porte sono in bind solo sull'interfaccia 127.0.0.1, non corri alcun pericolo. Francamente non credo che sia così, quindi un firewall effettivamente ti sarebbe utile.

Quote:

Sinceramente pensavo di ottenere un listato più grosso
ma quando vado a cercare il file /ect/inetd.conf segnalato
nell'articolo scopro che non esiste

La Mandrake non usa più inetd da tempo, avendolo sostituito con xinetd. I file di configurazione li trovi sotto la directory /etc/xinetd.d, e sono uno per ogni servizio lanciato da xinetd.

Quote:

Purtroppo vista la totale inesperienza avrò fatto
sicuramente errori

Il file è completamente sbagliato. Ad esempio:

Quote:

# permesso a http ed https (tcp out 80,443)
iptables -A INPUT -p tcp -m multiport --sport 80,443 -j ACCEPT

Questa regola accetta qualsiasi connessione, a qualunque scopo, con porte sorgenti 80 e 443. E' illogico, oltre che sbagliato, consentire l'accesso verso questi servizi in questo modo: ad es. potrei fare una box che contatti la tua porta 6000 da una porta sorgente 80, senza che il tuo firewall abbia da obiettare. Il metodo corretto è: se non hai servizi da esportare all'esterno, chiudere tutto in INPUT, tranne le connessioni ESTABLISHED e RELATED. Eventuali regole di filtraggio in uscita vanno impostate nella catena di OUTPUT, ma la cosa più importante è la catena di INPUT; ad es. la base di tutto è:

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Intanto che ti documenti un pò meglio su iptables (v. www.netfilter.org ) puoi settare il firewall della Mandrake tramite DrakConf, è ragionevolmente "sicuro".

[NZ]

sei stato illuminante

Sapevo di aver fatto cazzate ma come ho detto sono un principiante....
appena ho tempo vado a farmi un giretto al link che hai segnalato

Ciao

[NZ]

Quote:

Originariamente inviato da ilsensine
[b]
Il metodo corretto è: se non hai servizi da esportare all'esterno, chiudere tutto in INPUT, tranne le connessioni ESTABLISHED e RELATED.

Lo sto studiando.....

Quote:

Originariamente inviato da ilsensine
[b]
puoi settare il firewall della Mandrake tramite DrakConf, è ragionevolmente "sicuro".

mmmm......
è settato su "normale" ma non so cosa implichi
ci sono poi i livelli alto - molto alto e paranoia
potresti dirmi a cosa corrispondono?

Quote:

Originariamente inviato da ilsensine
[b]
Intanto che ti documenti un pò meglio su iptables.....

sono all'opera
sto selezionando un po di materiale ma di semplice (per novellini) trovo ben poco
su netfilter.org non ho trovato grande ispirazione
nel frattempo ho rimesso mano al mio firewall....
....spero che così,nonostante gli errori,sia meno ridicolo del primo tentativo!
Inoltre,per fare delle prove,puoi dirmi come si implementa realmente il firewall partendo dal file testo?
A proposito non ho trovato ancora niente....
....illuminami

Ciao

[ilsensine]

Quote:

mmmm......
è settato su "normale" ma non so cosa implichi
ci sono poi i livelli alto - molto alto e paranoia
potresti dirmi a cosa corrispondono?

NO, quello è il "livello di sicurezza", non è legato al firewall. Io lo avevo configurato con DrakConf->rete e internet->condivisione della connessione (dovrebbe impostare anche un firewall).

Quote:

su netfilter.org non ho trovato grande ispirazione

Ti garantisco che in mezza giornata ho imparato tutto. Vai qui:
http://www.netfilter.org/documentation/index.html#HOWTO
e leggi nell'ordine "networking concepts" e "packet filtering". Non ti serve altro al momento.

Quote:

Inoltre,per fare delle prove,puoi dirmi come si implementa realmente il firewall partendo dal file testo?

Ho letto il nuovo allegato; ancora non ci siamo, ti mancano ancora le basi. Ad es. per quale stramaledetto motivo hai usato la catena di prerouting???? Vuoi fare un DNAT forse?

[Kernel Panic!!]

Quote:

Originariamente inviato da ilsensine
[b]

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

io uso --state INVALID,NEW, gli state ESTABILISHED e RELATED a che servono? (più che altro RELATED, ESTABILISHED mi pare self-explanatory)

[NZ]

Quote:

Originariamente inviato da ilsensine
[b]
NO, quello è il "livello di sicurezza", non è legato al firewall. Io lo avevo configurato con DrakConf->rete e internet->condivisione della connessione (dovrebbe impostare anche un firewall).

ehm....
il mio PC non è in una LAN e tutto soletto
se faccio come dici mi da errore perchè non mi trova l'adattatore ethernet
spero di farlo io il firewall......prima del 3000

Quote:

Originariamente inviato da ilsensine
[b]
Vai qui:
http://www.netfilter.org/documentation/index.html#HOWTO
e leggi nell'ordine "networking concepts" e "packet filtering".

grazie
ho visto che c'è un bel po di roba!
purtroppo non ho tantissimo tempo da dedicargli
comunque leggerò tutto e quanto prima spero di postare una nuova versione del firewall che spero sia migliore.....
nel frattempo grazie di tutto e spero che leggerai prossimamente anche il firewall 3

Ciao

[ilsensine]

Quote:

Originariamente inviato da Kernel Panic!!
[b]

io uso --state INVALID,NEW, gli state ESTABILISHED e RELATED a che servono? (più che altro RELATED, ESTABILISHED mi pare self-explanatory)

Sono stati relativi a connessioni già effettuare o richieste.

[ilsensine]

Quote:

Originariamente inviato da NZ
[b]
ehm....
il mio PC non è in una LAN e tutto soletto
se faccio come dici mi da errore perchè non mi trova l'adattatore ethernet

mumble...
Cerca con rpmdrake qualche programma di configurazione per bastille

[alegallo]

senza voler fare pubblicità vi segnalo che c'è un articolo su iptables su Linux Magazine di Luglio/Agosto

se a volte servisse ...

di sicuro NON a ilsensine, che a occhio e croce è un MOSTRO di Linux

[OsMoSiS]

Articoli su iptables ci sono anche su Linux&C. di Maggio e Giugno, quello di Giugno soprattutto è molto chiaro e porta un esempio concreto di script

[NZ]

Quote:

Originariamente inviato da OsMoSiS
[b]...e porta un esempio concreto di script

Bello
non è che potresti postarlo?

...intanto su consiglio del maestro ilsensine ho provato a scrivere qualcosa che implementasse il controllo dello stato dei pacchetti tcp in ingresso....sperando che non sia l'ennesimo buco nell'acqua
alla prossima

Ciao

[OsMoSiS]

Quote:

Originariamente inviato da NZ
[b]
Bello
non è che potresti postarlo?

Ciao

Ti ho mandato un PM

Lascia perdere, non si può fare è troppo grosso, me ne sono accorto solo ora

[ilsensine]

Quote:

iptables -A ppp_in -j blocked # salto alla catena blocked

u'nnè la catena blocked? Al momento è vuota

Quote:

iptables -A ppp_in -p tcp --dport 1:1024 -j services
iptables -A ppp_in -p udp --dport 1:1024 -j services

Queste le eseguirei addirittura prima di controllare lo stato ESTABLISHED,RELATED. Inoltre, devi bloccare anche le porte > 1024 dove ci possono essere dei servizi attivi: v. /etc/services (puoi controllare quali sono i servizi attivi sul tuo sistema con netstat -avnt e netstat -avnu)

Quote:

iptables -A conn_state -m state --state INVALID -j DROP # scarta pacchetti non appartenenti a connessioni note
iptables -A conn_state -m state --state RELATED,ESTABLISHED -j ACCEPT # accetta pacchetti di connesioni note

Che fai, le connessioni NEW le lasci passare??
sintassi corretta: elimina la catena conn_state (non serve a un tubo) e sostituisci la sua chiamata con
iptables -A ppp_in -m state --state NEW,INVALID -j DROP
oppure (come ultimo anello prima del DROP di default)
iptables -A ppp_in -m state --state ESTABLISHED,RELATED -j ACCEPT
a seconda di come vuoi impostare le cose.

TODO (1): se qualcuno tenta una connessione su porte riservate, devi loggarlo.
TODO (2): blocca pacchetti strani; ad es. pacchetti provenienti da ppp0 ma con indirizzo sorgente 127.x.x.x oppure 192.168.0.x (questo lo ho visto fare a Bastille della Mandrake). Blocca il multicast (224.x.x.x), tanto non lo usi.

[NZ]

Quote:

Originariamente inviato da ilsensine
[b]
u'nnè la catena blocked? Al momento è vuota

infatti è una stupidata
non fa nulla....solo una perdita di tempo nel saltare da una catena all'altra... tolta immediatamente

Quote:

Originariamente inviato da ilsensine
[b]
Queste le eseguirei addirittura prima di controllare lo stato ESTABLISHED,RELATED. Inoltre, devi bloccare anche le porte > 1024 dove ci possono essere dei servizi attivi: v. /etc/services (puoi controllare quali sono i servizi attivi sul tuo sistema con netstat -avnt e netstat -avnu)

grazie della dritta

Quote:

Originariamente inviato da ilsensine
[b]
Che fai, le connessioni NEW le lasci passare??
sintassi corretta: elimina la catena conn_state (non serve a un tubo) e sostituisci la sua chiamata con
iptables -A ppp_in -m state --state NEW,INVALID -j DROP
oppure (come ultimo anello prima del DROP di default)
iptables -A ppp_in -m state --state ESTABLISHED,RELATED -j ACCEPT
a seconda di come vuoi impostare le cose.

Come le lascio passare
io pensavo che quando arriva una NEW non essendo soddisfatte le regole INVALID,ESTABLISHED,RELATED allora dalla catena conn_state si ritorna alla ppp_in la quale rimanda alla tcp_flags per controllarne i flags e decidere che farne dei pacchetti NEW...
...dal link che mi hai consigliato avevo capito questo sul salto da una catena all'altra....ovvero quando si arriva al termine di una catena NUOVA e non si è presa una decisione si ritorna alla catena da cui è avvenuto il salto alla regola successiva! avrò capito male ma c'era un esempio e sembrava fare così
Per quanto riguarda eliminare conn_state hai ragione.... nel tuo modo vengono fatte le stesse cose ma si risparmia una catena!
Per con la conn_state mi sembra più bello esteticamente

Quote:

Originariamente inviato da ilsensine
[b]
TODO (1): se qualcuno tenta una connessione su porte riservate, devi loggarlo.

questo ancora non ho capito come si fa.... suggerimento?

Quote:

Originariamente inviato da ilsensine
[b]
TODO (2): blocca pacchetti strani; ad es. pacchetti provenienti da ppp0 ma con indirizzo sorgente 127.x.x.x oppure 192.168.0.x (questo lo ho visto fare a Bastille della Mandrake). Blocca il multicast (224.x.x.x), tanto non lo usi.

Provvederò

Sei gentilissimo....da buon maestro mi stai guidando alla soluzione giusta

x OsMoSiS:
PVT ricevuto! GRAZIE.

Ciao a tutti,alla prossima

[OsMoSiS]

Quote:

Originariamente inviato da NZ
[b]
CUT
Ciao a tutti,alla prossima

Per loggare si usa l'obiettivo LOG.

Es:
iptables -A INPUT -i ppp0 -p tcp --dport 1:1024 -j LOG --log-prefix "IPTABLES connessione richiesta: "

Una cosa simile. Quindi fai la regola normalmente come le altre e metti come obiettivo (-j) LOG, con "--log-prefix" puoi far scrivere nel syslog una intestazione nella riga per facilitarne la lettura.


Se ci riesco (leggi "se trovo il tempo" ) domani scannerizzo lo script che c'è nella rivista

[ilsensine]

Quote:

io pensavo che quando arriva una NEW non essendo soddisfatte le regole INVALID,ESTABLISHED,RELATED allora dalla catena conn_state si ritorna alla ppp_in la quale rimanda alla tcp_flags per controllarne i flags e decidere che farne dei pacchetti NEW...

Cosa devi decidere? Hai ricevuto una richiesta di connessione dall'esterno, buttala via subito!
Per il log puoi fare come ha detto OsMoSiS; visto che -j LOG non termina l'esecuzione della catena (ricordatelo!), è utile qui creare una catena chiamata ad es. log_drop che effettua il log e quindi scarta il pacchetto; ad esempio:

iptables -A log_drop -j LOG --log-prefix "quello che vuoi"
iptables -A log_drop -j DROP
(...)
iptables -A ppp_in -p tcp --dport 0:1024 -j log_drop

Come variante sul tema puoi reindirizzare tutti i pacchetti "condannati" verso log_drop e controllare in questa catena quelli da loggare e quelli semplicemente da ignorare.

[NZ]

Quote:

Originariamente inviato da OsMoSiS
[b]
Se ci riesco (leggi "se trovo il tempo" ) domani scannerizzo lo script che c'è nella rivista

Troppo gentile

Quote:

Originariamente inviato da ilsensine
[b]
Cosa devi decidere? Hai ricevuto una richiesta di connessione dall'esterno, buttala via subito!

Scusa,ma se aggiungo NEW alla riga dove c'è già INVALID:
iptables -A ppp_in -m state --state NEW,INVALID -j DROP
e poi segue:
iptables -A ppp_in -m state --state RELATED,ESTABLISHED -j ACCEPT
allora che me ne faccio della catena dei flags?
o meglio...come la gestisco? metto la chiamata ai flags prima del controllo stato??? scusa ma qui mi son perso ci penserò....

x ilsensine & OsMoSis:
grazie per la dritta sul LOG.

x ilsensine:
ho eseguito i comandi netstat -avnt & -avnu e risulta che le uniche porte >1024 aperte sono la 6000 (x11) e la 32768 che non so a che servizio corrisponda! Comunque ad entrambe ho bloccato l'accesso.

ciao

[NZ]

...momento sono fuso dalla stanchezza ma posto ugualmente una nuova versione del firewall.....
spero di aver migliorato qualcosina
a domani mattina l'ardua sentenza

Ciao

[ilsensine]

Va già meglio. Però nelle regole come questa:

Quote:

iptables -A ppp_in -p ! icmp -s 127.x.x.x -j cose_strane

non escluderei i pacchetti icmp, e imposterei come target log_drop (dovresti loggarli simili pacchetti strani!)
I pacchetti di multicast puoi mandarli in drop senza loggarli.

Questa regola, inoltre, è superflua:

Quote:

iptables -A ppp_in -m state --state NEW,INVALID -j DROP

in quanto hai scelto la forma ESTABLISHED,RELATED per la discriminazione dello stato; i pacchetti che non rispettano lo stato indicato vengono mandati in drop dalla regola di default della catena INPUT.

nb per i flag tcp non ti posso aiutare, non sono abbastanza esperto da conoscerli. Da quel che ne so, puoi farne a meno su un computer "domestico".