[Debian] Hwupgrade Clan [The Second Encounter]

[PiloZ]

Quote:

Originariamente inviato da Carcass

una idea sarebbe quella di inserire delle iptables rules in /etc/arno/custom-rules ma non ne ho idea dato che ho messo arno (a dire la verità è un ottimo tool davvero ) apposta .

io per amule uso:

Codice:

#!/bin/sh
IFACE=192.168.1.2
IPTABLES=$(which iptables)
#####
$IPTABLES -A INPUT -i eth0 -p tcp -d $IFACE --dport 4662 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID
$IPTABLES -A INPUT -i eth0 -p udp -d $IFACE --dport 4672 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID

Ciao

[ezln]

Scusa la mia ignoranza, PiloZ, in buona sostanza io configuro per bene il mio router, impostando i corretti Virtual Server (ossia aprendo le porte che mi interessano, anche nel mio caso la 4662 tcp e la 4672 udp), dopodichè, utilizzando lo script che hai postato non dovrei avere più problemi. Correggimi se sbaglio, è così? Però, ti chiedo un ultima cosa: come lo uso il tuo script? Illuminami, se puoi!

Grazie!

[PiloZ]

Quote:

Originariamente inviato da ezln

Scusa la mia ignoranza, PiloZ, in buona sostanza io configuro per bene il mio router, impostando i corretti Virtual Server (ossia aprendo le porte che mi interessano, anche nel mio caso la 4662 tcp e la 4672 udp), dopodichè, utilizzando lo script che hai postato non dovrei avere più problemi. Correggimi se sbaglio, è così?

dipende da come è configurata la tua rete, in questo caso il mio amule sta sulla mia macchina avente eth0 con ip 192.168.1.2 il quale fa uso del gateway 192.168.1.1 che è rappresentato dal mio router.

Quote:

Originariamente inviato da ezln

Però, ti chiedo un ultima cosa: come lo uso il tuo script? Illuminami, se puoi!
Grazie!

quello che ho postato sopra è il 2% del mio script personale aka firewall aka muro.sh il quale:
sta salvato in /etc/init.d come un normale script di init;
sta linkato in /etc/rc2.d affinchè venga caricato|eseguito al boot.

link del mio firewall completo: muro;

riepilogamendo nel tuo caso se sei collegato ad un router come me, crei un file in /etc/init.d/ che so chiamato firewall.sh e dentro ci metti:

Codice:

#!/bin/sh

IPTABLES=$(which iptables)
MODPROBE=$(which modprobe)

IFACE=192.168.1.2 <- metti il tuo IP
start()
{
echo -n "Avvio il firewall"
$MODPROBE ip_tables
$MODPROBE iptable_nat
$MODPROBE ip_conntrack
$MODPROBE ipt_MASQUERADE

###AMULE###
$IPTABLES -A INPUT -i eth0 -p tcp -d $IFACE --dport 4662 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID
$IPTABLES -A INPUT -i eth0 -p udp -d $IFACE --dport 4672 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID

echo " ."

}

show() {
  	
	$IPTABLES -L -n -v --line-numbers

}

case "$1" in
              'start')
              start
      ;;
              'show')
              show
      ;;
		*)

  echo "Usage: $0 {start|show}"
  echo "start)      carica i settaggi per amule"
  echo "show) Shows the status" 
		exit 3
		;;
esac

fai partire il firewall con:
/etc/init.d/firewall.sh start
verifica se le regole sono ok con:
/etc/init.d/firewall.sh show
apri amule e vedi se hai id alto.
se funzia dai:
update-rc.d -f firewall.sh defaults
riavvi il pc e bo.

se non va è perchè devi studiarti iptables, ho commesso errori dovuti al fatto che sto lavorando o la tua configurazione di rete è diversa dalla mia

[ezln]

Grazie infinite per la risposta PiloZ!!!!
Sei stato preciso ed esauriente.
Riguardo alla mia configurazione di rete non ci dovrebbero essere problemi: anche nel mio caso il mulo è installato in una macchina con eth0 (indirizzo ip 192.168.1.101), connessa (da sola) ad un router (ip 192.168.1.1), già configurato con porte 4662 tcp e 4672 udp aperte verso l'esterno (ottengo id high su winzozz, per cui tutto dovrebbe essere ok).

Proverò a seguire il tuo "howto" e ti saprò dire....

Ancora grazie!

[Carcass]

Quote:

Originariamente inviato da PiloZ

io per amule uso:

Codice:

#!/bin/sh
IFACE=192.168.1.2
IPTABLES=$(which iptables)
#####
$IPTABLES -A INPUT -i eth0 -p tcp -d $IFACE --dport 4662 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID
$IPTABLES -A INPUT -i eth0 -p udp -d $IFACE --dport 4672 -m state --state NEW -m limit --limit 10/s -j ACCEPT #AMULE E HIGH ID

Ciao

io ho inserito queste studiandomi un po iptables e funziona tornando subito high ID (pero perche non funge solo con arno e vuole regole ad-hoc con iptables?? puoi darmi una tua opinione??)

Quote:

iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4662+3 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P OUTPUT ACCEPT

come le giudichi (di funzionare funziona ed il computer per il resto sembra andare bene) buone ??

PS: intorno alle 100€ mi dici il miglior router wifi firewall etc..... che si puo comprare (euro piu euro meno), che non ha problemi per la sua qualità/assistenza etc.....

inoltre sul laptop di mio cugino sto testando la guida mia all'acpi come noto se funge o meno lo scaling??

[PiloZ]

Quote:

Originariamente inviato da Carcass

io ho inserito queste studiandomi un po iptables e funziona tornando subito high ID (pero perche non funge solo con arno e vuole regole ad-hoc con iptables?? puoi darmi una tua opinione??)

come le giudichi (di funzionare funziona ed il computer per il resto sembra andare bene) buone ??

le regole fanno la stessa cosa con la differenza che quelle che uso io sono più minuziose mentre quelle che mi hai indicato seppure funzionanti sono talmente poco definite che non so se "regole" è il termine più appropriato
secondo me prima hai mischiato regole provvenienti da dx (arno?) con quelle di sx (mie)
non riesci a definire un solo firewall invece di mischiar le cose?

Quote:

Originariamente inviato da Carcass

PS: intorno alle 100€ mi dici il miglior router wifi firewall etc..... che si puo comprare (euro piu euro meno), che non ha problemi per la sua qualità/assistenza etc.....

chiedi su irc a vicius

Quote:

Originariamente inviato da Carcass

inoltre sul laptop di mio cugino sto testando la guida mia all'acpi come noto se funge o meno lo scaling??

_credo_ ti basti fare dei cat a /proc/cpuinfo prima e mentre compili dei sorgenti

[ezln]

Visto che ci sono, PiloZ, approfitto della tua disponibilità e ti chiedo un altro consiglio.
Dunque, il mio router ha pure il firewall integrato, che io ho disattivato. Mi sono sempre chiesto se sia cosa migliore utilizzare il firewall del sistema operativo (linux o, finchè non piallo la sua partizione, anche winzozz con cui uso Sygate Personal Firewall) oppure quello del router stesso. E, se propendessi per quest'ultimo, come disattivo quello della mia Debian? Scusa la mia ignoranza, so che dovrei documentarmi prima di porre certe domande, ma ti chiedo una risposta, se ti è possibile.

Grazie.

[Devil!]

Utile lo script "muro", PiloZ

Non ho inteso però a che serve specificare nelle regole di aMule

Quote:

-m limit --limit 10/s

a che pro?

Quote:

#BLOCCA QUAKE4
#$IPTABLES -A OUTPUT -o eth0 -m udp -d q4master.idsoftware.com -p udp -s $IFACE -j DROP
#BLOCCA QUAKE 3 ARENA
#$IPTABLES -A OUTPUT -o eth0 -m udp -d authorize.quake3arena.com -p udp -s $IFACE -j DROP

queste 2 credo invece di avere intuito

[darkbasic]

Quote:

Originariamente inviato da Devil!

queste 2 credo invece di avere intuito

Eh no Piloz, non si fa
Ad ogni modo c'è un metodo molto più semplice e sbrigativo:
echo "127.0.0.1 q4master.idsoftware.com" >> /etc/hosts

[Carcass]

Quote:

Originariamente inviato da PiloZ

le regole fanno la stessa cosa con la differenza che quelle che uso io sono più minuziose mentre quelle che mi hai indicato seppure funzionanti sono talmente poco definite che non so se "regole" è il termine più appropriato
secondo me prima hai mischiato regole provvenienti da dx (arno?) con quelle di sx (mie)
non riesci a definire un solo firewall invece di mischiar le cose?

chiedi su irc a vicius

_credo_ ti basti fare dei cat a /proc/cpuinfo prima e mentre compili dei sorgenti

ti spiego cosi forse capisci meglio: arno si configura quando lo lanci tramite debconf che ti chiede delle domande minimale come: l'interfaccia di rete, dhcp o statico IP e le porte tcp e udp (che gli ho puntualmente indicato) solo che per esempio la porta udp 8767 relativa a teamspeak funziona o come le porte per bittorrent mentre quelle di amule mi dava firewalled

al che dato che contemporaneamente si possono dare regole ad-hoc iptables nel suo file custom-rules (solo regole iptables pure) cosi ho fatto ed ha funzionato (è proprio una implementazione di arno firewall), dunque non mi dire che ho mischiato ceci con fave perche NON è cosi.
difatti come rules funzionano solo volevo capire se erano buone nella loro struttura ma al solito tu che sei anni luce piu avanti mi hai un po smontato (per dire un eufemismo)

PS: per la guida all'acpi vedrò

[PiloZ]

Quote:

Originariamente inviato da ezln

Visto che ci sono, PiloZ, approfitto della tua disponibilità e ti chiedo un altro consiglio.
Dunque, il mio router ha pure il firewall integrato, che io ho disattivato. Mi sono sempre chiesto se sia cosa migliore utilizzare il firewall del sistema operativo (linux o, finchè non piallo la sua partizione, anche winzozz con cui uso Sygate Personal Firewall) oppure quello del router stesso. E, se propendessi per quest'ultimo, come disattivo quello della mia Debian? Scusa la mia ignoranza, so che dovrei documentarmi prima di porre certe domande, ma ti chiedo una risposta, se ti è possibile.

Grazie.

imho dipende da che servizzi usi, dal se questi sono sempre attivi, dal livello paranoid che ogniuno di noi hai, dal se questi sono usati solo internamente o no etc.

personalmente firewall esistente o meno sul router, quest'ultimo fa comunque da GW e per me GW == firewall.

in teoria il mio serve a poco ma volendo imparere iptables con il tempo applicandomi ho tirato su il mio firewallozzo che anche se in più male sicuramente non fa

disattivare il firewall su linux vuol dire non avere alcun firewall aggiuntivo installato (guarddog etc.) ed eseguire quello che sul firewall che ti ho linkato sta scritto nella funzione di stop() cioè flusha le 3 catene principali (IN, OUT e FORWARD) e imposta la nuova politica di default di tutte e 3 le catene su ACCEPT.

Quote:

Originariamente inviato da Devil!

Utile lo script "muro", PiloZ

Non ho inteso però a che serve specificare nelle regole di aMule

a che pro?

quella la tirai su per questioni di sicurezza per SSH, FTP, HTTPD e i restanti servizi importanti anche se questi ultimi non sono mai attivi di default.

poi successivamente ho detto: male non fa...mettiamola ovvunque anche se con amule so che non serve proprio a niente, anzi

Quote:

Originariamente inviato da Devil!

queste 2 credo invece di avere intuito

ma dimmi te sto quake che voleva fare il biricchino con un check del seriale
tcpdump rullez

Quote:

Originariamente inviato da darkbasic

Ad ogni modo c'è un metodo molto più semplice e sbrigativo:
echo "127.0.0.1 q4master.idsoftware.com" >> /etc/hosts

LOL...e si questo è più veloce

[PiloZ]

Quote:

Originariamente inviato da Carcass

ti spiego cosi forse capisci meglio: arno si configura quando lo lanci tramite debconf che ti chiede delle domande minimale come: l'interfaccia di rete, dhcp o statico IP e le porte tcp e udp (che gli ho puntualmente indicato) solo che per esempio la porta udp 8767 relativa a teamspeak funziona o come le porte per bittorrent mentre quelle di amule mi dava firewalled

al che dato che contemporaneamente si possono dare regole ad-hoc iptables nel suo file custom-rules (solo regole iptables pure) cosi ho fatto ed ha funzionato (è proprio una implementazione di arno firewall), dunque non mi dire che ho mischiato ceci con fave perche NON è cosi.
difatti come rules funzionano solo volevo capire se erano buone nella loro struttura ma al solito tu che sei anni luce piu avanti mi hai un po smontato (per dire un eufemismo)

PS: per la guida all'acpi vedrò

pardon, io avevo capito che quelle le usavi in precedenza e non funzionavano mentre le mie si...per questo sembrandomi un fatto strano o pensato che avevi aggiunto le regole in coda ad iptables da riga di comando, così che potevano annullarsi se prima c'erano le tue.
ho capito solo ora che quelle che hai postato te non le usavi in precedenza ma volevi solo avere conferma da me se potevano andare bene per un successivo utilizzo giusto?

scusami, non volevo smontarti

[Carcass]

Quote:

Originariamente inviato da PiloZ

pardon, io avevo capito che quelle le usavi in precedenza e non funzionavano mentre le mie si...per questo sembrandomi un fatto strano o pensato che avevi aggiunto le regole in coda ad iptables da riga di comando, così che potevano annullarsi se prima c'erano le tue.
ho capito solo ora che quelle che hai postato te non le usavi in precedenza ma volevi solo avere conferma da me se potevano andare bene per un successivo utilizzo giusto?

scusami, non volevo smontarti

si giusto

in pratica ho sfruttato la possbilità di aggiungere delle regole ad-hoc a quelle di configurazione proprie di arno (che non so perche non vanno abilitando in ogni caso le porte per amule, anche se spesso e volentieri proprio con amule mi capitano cose strane che non capitano con altri software, bug..... ): le mie direttive non andavano anche se erano giuste e lo ho customizzato proprio nel suo file custom-rulez.

è ottima sta cosa perche denota molta flessibilità da parte di sto software potendolo in pratica personalizzare.

cmq non volevo redarguirti è solo che ho una fiducia in te praticamente cieca.

non capisco perche con le tue capacità ancora non te ne sei andato in america in una qualche start-up o collabori in rete con grossi "siti" di software open

[darkbasic]

Quote:

Originariamente inviato da PiloZ

tcpdump rullez

Ecco lo sapevo... quando esistono ottimi programmi come wireshark (ex ethereal) lui deve utilizzare il tool a riga di comando...
Ma daltronde non c'è da stupirsi da uno che utilizza mutt

[Carcass]

Quote:

Originariamente inviato da darkbasic

Ecco lo sapevo... quando esistono ottimi programmi come wireshark (ex ethereal) lui deve utilizzare il tool a riga di comando...
Ma daltronde non c'è da stupirsi da uno che utilizza mutt

pero di sicuro tra tutti gli utenti del clan credo che la sua debian probabilmente sia l'ultima che cadrebbe in caso di attacco dos buffer overflowing e compagnia bella tra tutte le nostre

[dierre]

[OT] è possibile vedere un .config di un kernel precompilato? Mi servirebbe per fedora.

[PiloZ]

Quote:

Originariamente inviato da Carcass

non capisco perche con le tue capacità ancora non te ne sei andato in america in una qualche start-up o collabori in rete con grossi "siti" di software open

perchè non ho le palle per uscire per sempre dalla mia isola anche se purtroppo so che fino ad oggi offe poco e niente nel mondo lavoro

sto aspettando che la microsoft apri una succursale in sardegna fatta di soli server unix per portargli il curriculum di persona
tanto so che download.

[PiloZ]

Quote:

Originariamente inviato da darkbasic

Ecco lo sapevo... quando esistono ottimi programmi come wireshark (ex ethereal) lui deve utilizzare il tool a riga di comando...
Ma daltronde non c'è da stupirsi da uno che utilizza mutt

non pensare che mi sia buttato subito su tcpdump, conosco e ho provato ethereal, ettercap, iptraf ma con tcpdump apparte l'enorme potenza mi trovo molto meglio.

ethereal + ettercap sai cosa mi ricorda?... una autodossata
stavo provando uno di quei plugin che sono integrati nel programma (non ricordo quali dei 2) ....tra questi c'era un dossatore dove mettevi ip fake e porta...be metto un ip di lan, disattivo il firewall e imposto la porta 25, a quel punto gkrellm che mostra il traffico sulla eth0 inizia a sfanculare a manetta, il log di ethereal è impazzito talmente era imponente il traffico, ho dovuto killare ethereal da tty2
troppo lollosa sta storia.

[PiloZ]

Quote:

Originariamente inviato da dierre

[OT] è possibile vedere un .config di un kernel precompilato? Mi servirebbe per fedora.

ho ereditato il .config dai tempo che usavo slackware dunque debian non sa cosa siano precompilati, sorry

[dierre]

è che ho il mio kernel personalizzato, ma quello fedora è un pò più spocchioso, così volevo vedere qualche opzione carina