Firewall: che tribolazione !!! sono stanco : HELP ME !!!

[DjMix]

Oh bene, vediamo un pò...

Cominciamo dall'inizio a spiegare lo script.

#Fermo il forward dei pacchetti
echo 0 > /proc/sys/net/ipv4/ip_forward

Il pc col firewall è un routerino, ovvero lui si occupa di collegarsi ad internet ed a far girare alcuni servizi; tutti gli altri pc di casa passano tramite di lui. Si deve quindi espicitamente indicare che i dati possono transitare dall'interfaccia di rete ppp0 (quella di internet) alla scheda di rete eth0 a cui son collegati tutti gli altri pc. Con quella riga fermo il passaggio, dato che appena sotto sproteggo il firewall è un piccolo accorgimento per aumentare la sicurezza. Tu quella riga la puoi tenere anzi è meglio, non ti cambia niente xchè non credo hai altri pc collegati tramite questo, quindi non ti danneggia --> tienila che non si sa mai .

#Flush completo
iptables -F
iptables -t nat -F

Con queste due righe "resetto" il firewall, ovvero tolgo tutte le regole e lo rimetto a default (nessuna regola = passa tutto). In questo modo parto da zero mettendo le mie regole, e son sicuro che non ce ne sono altre che disturbano. Concettualmente è scorretto (dovrei sapere a menadito cosa succede se fossi un buon amministratore): dato che non sono un buon amministratore così basta e avanza

#Apro le porte http, ssh, telnet e ftp e droppo tutto il resto
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport http -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport telnet -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP

Questa parte del mio script serve per indicare al firewall cosa deve passare e cosa no. Come noterai dal commento, ho volutamente deciso di lasciare aperte le porte http, ssh, telnet e ftp. Il motivo è semplice... la porta http mi serve aperta xchè dentro al mio serverino gira un sito, la porta ssh l'ho aperta xchè qweasdzxc e Kernel Panic!!! dovevano installare e configurare un programmino che ci serve, le porte telnet e ftp sono aperte xchè mio fratello ogni tanto ha bisogno di accedere al suo pc da fuori. Io credo che a te queste cose non servano, per cui ti consiglio di modificare quella parte in:

#Droppo tutto ma proprio tutto tutto tutto
iptables -A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP

Piccola precisazione: si possono scegliere due modi per chiudere le porte, DROP e REJECT. Tutti e due impediscono le connessioni, il secondo modo rispondendo anche "mi spiace niente da fare" il primo se ne sta zitto zitto (stealth). Ci sono evidenti vantaggi ad usare il primo: nessun attacker potrà dire con certezza se ci sei oppure no. Nel secondo caso lo sa benissimo che ci sei, anche se gli impedisci di entrare. È sempre meglio dare meno informazioni possibile.

#Abilito il forwarding delle porte 22 e 21 e droppo tutto il resto
.....
iptables -A FORWARD -i ppp0 -m state --state INVALID,NEW -j DROP

Come ti dicevo mio fratello accede al suo pc da internet, quindi ho istruito il router in modo che connessioni a lui su determinate porte vengano inoltrate al pc di mio fratello. Il concetto si esprime con queste righe. Ignorale pure tranne l'utima: serve a droppare tutti i pacchetti che cercano di passare per tramite del tuo pc. Come prima non ti da fastidio quindi meglio metterla che non si sa mai.

#Abilito il masquerade verso internet e il forward dei pacchetti
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

la prima riga di questa parte non mi ricordo più se ti sia necessaria o meno. Prova a non mettera e se non funziona una mazza allora vuol dire che ti serve la seconda come dicevo sopra puoi non metterla così diminuisci ancora di più la probabilità di casini.


Bon, ora che (spero) ti è più chiaro a cosa servono quelle righe, passiamo alla parte script. Apri un editor di testo qualunque, tipo kwrite, e scrivi:

#!/bin/sh

#Fermo il forward dei pacchetti
echo 0 > /proc/sys/net/ipv4/ip_forward

#Flush completo
iptables -F
iptables -t nat -F

#Droppo tutto ma proprio tutto tutto tutto
iptables -A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP

#Droppo tutta la catena FORWARD
iptables -A FORWARD -i ppp0 -m state --state INVALID,NEW -j DROP

#Abilito il masquerade verso internet
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


Bene, salva con un nome intelligente. Fallo diventare eseguibile (chmod +x <nome_file> e di proprietà di root (chown root:root <nome_file>). Ora pensiamo a dove metterlo.... io il mio l'ho messo nella directory degli script che partono quando si connette ad internet. Magari non è il posto più elegante dove ficcarlo, ma va bè... il posto si chiama: "/etc/ppp/ip-up.d". Se decidi che ti va bene copialo li dentro (cp <nome_file> /etc/ppp/ip-up.d). Bene, ora "dovrebbe" partire ogni volta che fai la connessione. Incrociamo le dita


Cosa resta adesso? Ah si. Tutte ste robe le ho imparate leggendo appunti di informatica libera, facendomi aiutare da qweasdzxc, kernel panic!! e tnt; ultimo ma non per inportanza chiedendo nel forum. Beh certo le pagine di manuale (man iptables) sono fondamentali. Linux lo uso ormai da 2 anni e ne sono sempre più soddisfatto; più passa il tempo e più son felice di rendermi conto che non so molte cose: significa che ne ho imparato l'esistenza. E per quanto poco, è sempre un qualcosa in più . Ricorda che nessuno nasce "imparato" e che siamo stati niubbi tutti quindi non ti sentire inferiore a nessuno... cerca di sentirti alla pari piuttosto.

Buon pomeriggio e buona lettura

[blackgnat]

Quote:

Originariamente inviato da DjMix
Oh bene, vediamo un pò...
...................................
.................................
..................................
Buon pomeriggio e buona lettura

complimenti per la spiegazione .... !!!
Sei una manna per chi ne capisce poco !! ....
Altra gente ( io incluso .... ) avrebbe postato:" man iptables" e "firewall how-to"

[madforthenet]

the winner is :
DjMix !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
a parte gli scherzi concordo sei una miniera di info ora provo fra un po' vi dico
ciao

[madforthenet]

Quote:

Originariamente inviato da DjMix

Bene, salva con un nome intelligente. Fallo diventare eseguibile (chmod +x <nome_file> e di proprietà di root (chown root:root <nome_file>). Ora pensiamo a dove metterlo.... io il mio l'ho messo nella directory degli script che partono quando si connette ad internet. Magari non è il posto più elegante dove ficcarlo, ma va bè... il posto si chiama: "/etc/ppp/ip-up.d". Se decidi che ti va bene copialo li dentro (cp <nome_file> /etc/ppp/ip-up.d). Bene, ora "dovrebbe" partire ogni volta che fai la connessione. Incrociamo le dita

messo in quella directory non parte in auto, può essere perchè la mia connessione si attiva in automatico ? ora provo con l'attivazione manuale
ciao

[madforthenet]

non non funziona neanche con l'attivazione manuale.
però quanto scritto è esatto , perchè facendo un copia e incolla su un terminale , come root, il firewall viene attivato bene e con tuttte le protezioni che mi servono
allora le cose sono 2 :
1 - o io sbaglio la procedura x lo script
2 - oppure la posizione giusta non è quella
se lo mettessi nella directory boot così parte subito al boot ?
beh adesso provo vi dico tra un po'
ciao

[madforthenet]

non non fuziona neanche così, mi avevano detto anche di provare a mettere o script in /usr/local/bin , ma niente neanche lì
non riesco a capire dove sbaglio.
DjMix se ci sei batti un colpo
grazie e ciao x ora

[blackgnat]

Quote:

Originariamente inviato da madforthenet

non non fuziona neanche così, mi avevano detto anche di provare a mettere o script in /usr/local/bin , ma niente neanche lì
non riesco a capire dove sbaglio.
DjMix se ci sei batti un colpo
grazie e ciao x ora

mandrake dovrebbe avere un file /etc/rc.local ( o local.rc) che punta ad un file della cartella /etc/init.d ..( se non lo trovi scrivi : find / -iname rc.local )
una volta trovato aggiungici una riga:
/percorso/del/tuo/belscript
e te lo lancia quado accendi il pc !!!

[LukeHack]

veramente ottime info complimenti DjMix

[NZ]

Quote:

Originariamente inviato da LukeHack
veramente ottime info complimenti DjMix

quoto in pieno

comunque in rete si trova tanta documentazione,anche in italiano:
http://www.netfilter.org/documentati...pts-HOWTO.html
http://www.netfilter.org/documentati...ing-HOWTO.html
http://www.netfilter.org/documentati...ing-HOWTO.html
http://www.netfilter.org/documentati...NAT-HOWTO.html
buone letture

[DjMix]

Son qua! Innanzitutto grazie per i complimenti


Tornando in topic, ho dato un'occhiata a mandrake ed effettimanente possiede un file apposta per modifiche dell'utente, si chiama /etc/rc.local e lo script lo possiamo aggiungere li. Facciamolo in pochi semplici passi:

1) apri un terminale, digita il comando "su", inserisci la password di root. Il prompt da $ diventa # segno che hai cambiato utente e sei root.

2) scrivi "kwrite /etc/rc.local", ti si aprirà un editor di testi con già caricato il file che vogliamo modificare.

3) Fai copia/incolla dello script presente nel post sopra. Attento a non copiare anche la riga #!/bin/sh: quella c'è già all'inizio del file. Metterla qui è sintatticamente errato e provocherebbe un errore nell'esecuzione dello script.

4) Salva il file, esci dall'editor.

Bene, ora abbiamo il nostro scriptino pronto per funzionare. Restano solo un paio di cose: fermare i servizi relativi al firewall che ci sono già in esecuzione. Facendo delle prove qua a casa ho visto che fra lo scriptino nostro e i suoi di mandrake c'era bisticcio... diciamo che non arrivava mai al login grafico
Apri quindi Mandrake control center che facciamo ste due cose.

A) Nella sezione "sicurezza", sotto drackfirewall, clikka su "Tutto (nessun firewall)". Dato che facciamo noi a manina questo è inutile, si rischiano solo conflitti. Dai OK per salvare le impostazioni.

B) Nella sezione "sistema", sotto "drakXservices" cerca iptables. Togli la crocetta da "al boot" che tanto lo facciamo partire noi e già che ci sei fermalo (anche se da me era già indicato come fermo). Dai OK per salvare le impostazioni.

Bene a questo punto riavvia e ti troverai dentro ad una fortezza il firewall dropperà tutte le connessioni da fuori indiscriminatamente. Meglio di così nun se pò!

[madforthenet]

grazie grazie grazie
ora provo e tra un po' ti dico
ciao

[madforthenet]

non ho parole x ringraziarti
tutto funziona a meraviglia, test su pcflack OK !!!!
che dire the is
DjMix !!!
visto che ne sai un bel po' , perchè non ti proponi nel forum x una mini guida ad es proprio sul firewall ?
mi sa che ci risentiremo ogni tanto vista la mia "abilità" e ti spiego perchè dicevo che mi stavo scoraggiando x le cose che non so, è perchè sono un niubbo che va x i 45 , dopo essere nato con dos e dopo anni di uso ed abuso di vari win.
con Linux si riapre un nuovo mondo non facile , ma interessante e divertente specie con gente così gentile e paziente come te qui sul forum
grazie l'avevo già detto ? sì ?
allora ciao ciao

[DjMix]

Beh che dire.... mi fai arrossire

Per gli howto, devo dire che non mi piace il sistema dei post sui 3d e infatti quel poco che mi son scritto l'ho messo nel mio sitarello. Inoltre ho appena finito di installarci una wikipedia per cui... se ho qualcosa da scrivere la metto li e non solo io per fortuna!

Ah, il sito è accessibile a tutti e si trova a questo indirizzo.

[madforthenet]

Quote:

Originariamente inviato da DjMix
Beh che dire.... mi fai arrossire

Per gli howto, devo dire che non mi piace il sistema dei post sui 3d e infatti quel poco che mi son scritto l'ho messo nel mio sitarello. Inoltre ho appena finito di installarci una wikipedia per cui... se ho qualcosa da scrivere la metto li e non solo io per fortuna!

Ah, il sito è accessibile a tutti e si trova a questo indirizzo.

Visto il sito complimenti anche x quello
ogni tanto ci andrò a dare un'occhiata mi sarà utile senz'altro
ciao