Un novellino con alcuni problemi!!! un aiuto please

[Bautzen]

Ciao raga, sono in difficoltà per alcuni aspetti:

- Ho Red Hat 8.0 su un PC che sta facendo da firewall con iptables 1.2.6a per la mia rete casalinga.
- Sembra funzionare (per miracolo) tuttavia mi sto documentando maggiormente su Iptables (consultando la documentazione di www.netfilter.org) e vorrei implementare il mio script in modo più "serio" e sicuro!!! Sembra che per rendere "invisibile" il mio Linux Box, mi serva il Target "TTL" e per dei log più "funzionali" anche il target "ULOG" non compresi nella distribuzione standard di iptables. Devo quindi usare "patch-o-matic" assicurandomi che il Kernel Source sia installato in /usr/src/linux. Ecco io ho ahimè scordato di installarlo e con "aggiungi/rimuovi" pacchetti mi dice che mancano delle dipendenze che non riesce a risolvere. Behhh insomma per tagliare corto sono anche disposto a ripartire da zero e installare così il Kernel code e a questo proposito ho alcune cosucce da chiedere:

- Dovendo fare solo da firewall, quale potrebbe essere la partizione più equilibrata di un disco da 20GB con red hat 8.0?

- Installando il Kernel Source code e i tools, come cavolo si fa a installare i "patch-o-matic"? Nel senso che su www.netfilter.org ho trovato le patch che farebbero al caso mio, ma non si tratta di un file o qualcosa del genere da applicare. Come avvengono questi aggiornamenti?

Spero che qualcuno possa aiutarmi anche se fino ad ora tutti i miei appelli sono caduti nel vuoto più totale
Capisco che la filosofia di Linux nasce e si espande dalle proprie forze personali, ma vivadio io penso che anche i piloti più bravi del mondo abbiano avuto bisogno che qualcuno disse loro che cosa fosse "acceleratore/freno/frizione".
Scusate lo sfogo ma io almeno non sono nato "super programmatore"

Un saluto a tutti e grazie

[ilsensine]

Quote:

Sembra che per rendere "invisibile" il mio Linux Box, mi serva il Target "TTL"

"Sembra"? Non mi risulta. TTL = Time To Live (numero di nodi che può oltrepassare un pacchetto prima di essere scartato), non ha attinenza con il "rendere invisibile la box". Non puoi rendere invisibile il tuo ip pubblico, se non usi gateway esterni di mascheramento!
Anche ULOG non serve a molto generalmente (serve a reindirizzare i pacchetti ad un apposito programma in user space).

Quote:

Installando il Kernel Source code e i tools, come cavolo si fa a installare i "patch-o-matic"?

Se mantieni il kernel della Redhat aggiornato con gli ultimi errata, non hai bisogno di perder tempo con i sorgenti.

[Bautzen]

leggevo in internet che un utente aggiungendo questa regola alla tabella di "mangle" rendeva il PC invisibile (anche se effetivamente non specificava se internamente o esternamente)

iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1

http://piggei.com/it/linux_firewall.php

probabilmente devo allora aver capito male (come al solito)

Cosa si potrebbe fare allora per rendere irraggiungibile il mio modem e linux da internet??

Eseguendo alcuni test forniti da questo sito http://www.pcflank.com/ ho riscontrato che eseguendo un test rapido mi dice che sono "aperto come un campo di grano" facendo invece un test approfondito sulle porte mi dice che sono tutte "closed" ma raggiungibili. Al lavoro dove abbiamo un firewall OpenBSD mi dice circa lo stesso con il test rapido ma con uno approfondito mi dice che sono anche nascoste e irragiungibili. Altri siti invece mi dicono che il mio firewall è ben protetto altri un pò meno. Insomma penso che sotto vi siano anche mosse commerciali. Insomma vorrei ragiungere un certo livello di "sicurezza" senza pretendere la luna.

Grazie

[ilsensine]

Quote:

Originally posted by "Bautzen"

leggevo in internet che un utente aggiungendo questa regola alla tabella di "mangle" rendeva il PC invisibile (anche se effetivamente non specificava se internamente o esternamente)

iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1

http://piggei.com/it/linux_firewall.php

probabilmente devo allora aver capito male (come al solito)

Non so, potrebbe essere un pò di black magic per rendere irrilevabili gli ip interni. Ma il tuo ip pubblico non puoi mascherarlo.

Quote:

Cosa si potrebbe fare allora per rendere irraggiungibile il mio modem e linux da internet??

Basta settare in maniera decente il firewall, chiudendo gli accessi dall'esterno.

Quote:

Eseguendo alcuni test forniti da questo sito http://www.pcflank.com/ ho riscontrato che eseguendo un test rapido mi dice che sono "aperto come un campo di grano" facendo invece un test approfondito sulle porte mi dice che sono tutte "closed" ma raggiungibili. Al lavoro dove abbiamo un firewall OpenBSD mi dice circa lo stesso con il test rapido ma con uno approfondito mi dice che sono anche nascoste e irragiungibili. Altri siti invece mi dicono che il mio firewall è ben protetto altri un pò meno. Insomma penso che sotto vi siano anche mosse commerciali.

...insomma ci sei arrivato da solo
Leggiti le guide che ho postato qui: http://forum.hwupgrade.it/viewtopic.php?t=438767
e non ti curare troppo dei web tester.

[Bautzen]

ma proprio nessuno che abbia uno spirito samarinato per un consiglio almeno sul partizionamento più equilibrato con red hat???

quanti MB per /??
quanti invece per /root?
e per /usr??

Insomma tutti nascono anche con le partizioni già nel sangue????

e per "patch-o-matic"?

Nessuno si è mai trovato nella mia situazione???

Un saluto a tutti

[ilsensine]

Se la macchina deve fare solo da firewall, basta un'unica partizione per / e qualche decina di MB di swap.
patch-o-matic non ti serve, se usi i kernel forniti dalla Redhat, come ti ho consigliato.

[Bautzen]

dunque io aggiorno spesso red hat con "up2date" non ignorando nessun pacchetto (kernel e kernel tools compresi) tuttavia l'iptbales che viene dato con red hat 8.0 è la versione 1.2.6a mentre in www.netfilter.org è stata rilasciata la versione 1.2.8 ma in entrambi i casi alcune "extra extensions" non sono disponibili con le versione standard se non applicando delle patch ("patch-o-matic" appunto) dove però cliccandoci sopra vengono visualizzate le "istruzioni" di programmazione. Cosa vuold dire?? Devo ricopiarle a manina e digitarle alla riga di comando? Devo salvarle in un file e farle partire? Che estensione dovrebbe avere il file se fosse questa la strada giusta? Devo connettermi ad un sito ftp e scaricarle??? Insomma che mi servano o no, cosa dovrei fare se mai un giorno dovessero servirmi????

Per le partizioni: se bastasse solo "/" allora quale sarebbe la funzione di "/usr","/var","/tmp","home" potrebbero servirmi per snellire o organizzare in modo funzionale il mio firewall? E in che modo?? Al di là della funzione sarebbe magari utile anche dare una chiara spiegazione delle loro funzioni una volta per tutte anche per chi per la prima volta si avvicina all'ext3 o ext2 ..... tentando di capire i vantaggi rispetto ad una fat32 o ntfs più vicine alla mentalità consumer

Queste sono tutte piccole cose che servono per creare le basi necessarie per un primo approcio corretto e per un più utile sviluppo conseguente di questa nuova realtà.

Che nessuno me ne voglia per tutto stò casino che sto creando ma desidererei che questo forum fosse vicino a temi anche così "stupidi" che però sono fondamentali per partire con il piede giusto

[#!/bin/sh]

se usi da poco linux ti consiglio per i primi tempi di non cercare di stravolgerti cercando di partire a fare le cose + complicate. iptables è semplice e complicato allo stesso tempo. cerca di imparare ad usarlo bene che di roba da imparare ce n'è un treno. cerca su google iptables tutorial che è un'ottima lettura. la differenza sostanziale nel fare una sola partizione e averne tante è che ad esempio se dedichi una partizione a /home e cioè per le home directory degli utenti in caso di formattazione puoi semlicemente formattare tutto il resto e non toccare le home degli utenti. E' un discorso + funzionale soprattutto per macchine che fungono da server. Io a casa mia ho sempre diviso il disco in tre parti: / per la partizione di root, /mnt/dati per i miei dati e una partizione di swap.

[ilsensine]

Quote:

Originally posted by "Bautzen"


ma in entrambi i casi alcune "extra extensions" non sono disponibili con le versione standard se non applicando delle patch ("patch-o-matic" appunto) dove però cliccandoci sopra vengono visualizzate le "istruzioni" di programmazione. Cosa vuold dire?? Devo ricopiarle a manina e digitarle alla riga di comando? Devo salvarle in un file e farle partire? Che estensione dovrebbe avere il file se fosse questa la strada giusta? Devo connettermi ad un sito ftp e scaricarle??? Insomma che mi servano o no, cosa dovrei fare se mai un giorno dovessero servirmi????

Molto semplice. Ti scarichi il pacchetto da ftp://ftp.netfilter.org/pub/patch-o-matic/ , lo scompatti ed esegui lo script ./runme pending. Nota che dopo devi ricompilare il kernel

Quote:

Per le partizioni: se bastasse solo "/" allora quale sarebbe la funzione di "/usr","/var","/tmp","home" potrebbero servirmi per snellire o organizzare in modo funzionale il mio firewall? E in che modo??

Se la macchina deve fare solo da firewall, è indifferente la configurazione delle partizioni. Non deve memorizzare file o programmi, deve fare il firewall e basta.

Quote:

Al di là della funzione sarebbe magari utile anche dare una chiara spiegazione delle loro funzioni una volta per tutte anche per chi per la prima volta si avvicina all'ext3 o ext2 ..... tentando di capire i vantaggi rispetto ad una fat32 o ntfs più vicine alla mentalità consumer

Argomento legittimo e già trattato in altri post, se ti va di cercare; non te la cavi con una risposta breve, quindi ti consiglio di aprire thread appositi se sei interessato

[Bautzen]

Tuttavia è necessario che i codici sorgente del kernel siano installati?

[ilsensine]

...a meno che non vuoi patchare l'aria...

[Bautzen]

una certezza in più e meglio di una in meno

[ilsensine]

Sei proprio sicuro che vuoi usare patch-o-matic? I kernel Redhat sono molto "sicuri"; le funzionalità in più che puoi aggiungere difficilmente sono usate anche dai guru...
Se sei "relativamente nuovo" a quest'argomento, cominciare a ricompilarsi i kernel non è un processo molto "naturale"
Ti consiglio prima di usare iptables con il kernel della Redhat per un pò, poi vedrai da solo se hai bisogno di qualcosa di speciale.

[Bautzen]

Io ho impiegato diverse settimane per creare un mio file .sh per il mio firewall, documentandomi sia su documentazione varie che su esempi reperibili in linea e analizzando riga per riga, sbagliando e riprovando, un pò per miracolo un pò per testardaggine, il firewall è andato su e "sembra" funzionare come ho voluto cioè effettivamente fa traffico solo a mie richieste e stà fermo se non lo uso pur essendo da tre mesi sempre collegato in internet. Quello che ora mi preme di capire è:

- Far funzionare WinMX attraverso iptables
- Vedere per quanto possibile i tentativi di intrusione (una sorta di IDS) e per raggiungere ciò mi basterebbe fare in modo di loggare ciò che viene accettato e quello che viene respinto dalle regole
- Testare che davvero funzioni insomma!!!

Ho ripreso in mano tutta la documentazione che ho trovato a proposito di iptables e me la stò rileggendo in modo da trovare qualche particolare che non avevo notato, qualche chiave di volta.

[ilsensine]

Quote:

Originally posted by "Bautzen"


- Far funzionare WinMX attraverso iptables

Ho idea che devi aprire delle porte, reindirizzandole sulla macchina con WinMX. Un pò delicato, ma si può fare se conosci tali porte (almeno lopster funziona così...)

[Bautzen]

le porte si conoscono bene perchè è lo stesso WinMX che ti dice o ti fa scegliere quali usare sia udp che tcp ed infatti lui funziona alla grande se lascio il firewall aperto con il solo nat e mascheramento quindi senza nessuna altra regola. Nel momento in cui io faccio partire il mio file con le dovute modifche del caso lasciando transitare in tutte e due i sensi (esagerando anche) le porte che lui vuole, ma nulla di nulla. Naturalmente il problema stà solo nel FORWARD a cui io ho appeso due catene di traffico (laninet e inetlan) ed impostando la policy di dafault su DROP ho inserito le mie regole in quelle due catene così da avere una divisione mentale dei flussi!!! (magari ho sbagliato, chissà)