|
|||||||
|
|
|
 |
|
|
Strumenti |
03-02-2003, 20:02
|
#1 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Firewall
Ho smanettato un pò di how to ma non ci ho capito niente...
## Inserisci i moduli del connection-tracking (non necessari se inclusi nel kernel) # insmod ip_conntrack # insmod ip_conntrack_ftp ## Crea una catena che blocchi le nuove connessioni, eccetto quelle provenienti dall'interno. # iptables -N block # iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT # iptables -A block -j DROP ## Dalle catene INPUT e FORWARD salta a questa catena # iptables -A INPUT -j block # iptables -A FORWARD -j block Dove inserisco i moduli??? Come faccio a creare una catena???? Premetto che sono un neofita e che nat e masquerading l'ho già impostato (e funziona) e che volevo scrivere tutto negli script (in modo che quando riavvio non debba riscrivere tutte le procedure)... PC LINUX: [server] 192.168.0.1 255.255.255.0 PC WINDOWS: [asusbook] [supermicro] 192.168.0.2 - 192.168.0.3 255.255.255.0 Come fare? |
|
|
|
03-02-2003, 20:14
|
#2 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
come è collegato a internet il pc con linux? l'output di ifconfig?
__________________
AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter |
|
|
|
|
04-02-2003, 11:27
|
#3 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Quote:
ifconfig mi pare era un comando da dare in shell, dovrebbe riportare "la configurazione" di rete... io ho provato ma mi dice comando sconosciuto.. Come si fa? |
|
|
|
|
|
04-02-2003, 11:39
|
#4 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
come fa a dirti che è un comando sconosciuto?
 è un comando basilare per configurare la rete. dato senza parametri ti fornisce la configurazione delle interfacce di rete attive sul pc.
__________________
AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter |
|
|
|
|
04-02-2003, 11:57
|
#5 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Quote:
[jurada@server jurada]$ ifconfig bash: ifconfig: command not found [jurada@server jurada]$ su Password: [root@server jurada]# ifconfig bash: ifconfig: command not found [root@server jurada]# cd .. [root@server home]# cd .. [root@server /]# ifconfig bash: ifconfig: command not found [root@server /]# whereis ifconfig ifconfig: /sbin/ifconfig /usr/share/man/man8/ifconfig.8.gz [root@server /]# cd sbin [root@server sbin]# ifconfig bash: ifconfig: command not found [root@server sbin]# BOH??????????? |
|
|
|
|
|
04-02-2003, 12:05
|
#6 |
|
Member
Iscritto dal: Jun 2000
Città: Milano
Messaggi: 136
|
Ehm........... prova a fare ifconfig dopo essere root.
Ciao
__________________
athlon xp-m 2400Mhz asus a7n8x-x ati 9800 aiw@9800pro |
|
|
|
|
04-02-2003, 12:14
|
#7 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
Allora semplifichiamoci un po' la vita usando solo le chain standard, così si capisce anche meglio che giro fanno i pacchetti. Presuppongo che tu abbia solo una connessione dial-up (adsl o via modem non importa, basta che sia ppp0).
Ecco uno scriptino semplice semplice per firewallarti ppp0. Le righe di commento le metto dopo il carattare ## #!/bin/sh modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_conntrack_irc modprobe ip_nat_irc ## questi sono bene o male tutti i moduli che servono per un utilizzo normale echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ## ora andiamo con la pulizia delle chain standard iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD ## scheda di rete sulla lan iptables -A INPUT -i eth0 -j accept iptables -A OUTPUT -o teh0 -j accept iptables -A FORWARD -i eth0 -j accept iptables -A FORWARD -o eth0 -j accept ## interfaccia ppp0 iptables - A OUTPUT -o ppp0 -m state --state NEW, ESTABLESHED -j ACCEPT iptables - A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT Fine. Adesso sto mangiando ed essendo concentrato sul cibo di meglio non mi viene. NB: potresti avere dei problemi con l'ftp.
__________________
AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter |
|
|
|
|
04-02-2003, 12:49
|
#8 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Fin qui sei stato chiarissimo, ma come creo questo script, come lo chiamo e dove lo metto????
Premetto anche che uso iptables, non ipchains. |
|
|
|
|
04-02-2003, 12:53
|
#9 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
lo crei con un qualunque editor di testo. es pico (è nel pacchetto con pine sotto internet text utils o roba simile). poi fai:
pico mioscripit lo salvi con ctrl+h poi lo rendi eseguibile: chmod 755 mioscript e aggiungi a rc.local la linea: /path-per-lo-script/mioscript il gioco è fatto.  enjoy iptables!
__________________
AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter |
|
|
|
|
04-02-2003, 12:55
|
#10 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Quote:
|
|
|
|
|
|
04-02-2003, 13:08
|
#11 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Può andar bene questo in allegato considerando che ho una connessione isdn con ip dinamico (libero infotrada)??
Se è completo come faccio a installarlo, cioè a far in modo che si avvii ogni volta in automatico? E così gli altri pc continuano a navigare in internet mantenendo il masquerading? |
|
|
|
|
04-02-2003, 13:30
|
#12 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Umh, no! Con quello script non navigo neanche in internet... Meglio che uso il tuo
|
|
|
|
|
04-02-2003, 13:43
|
#13 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Ok, ho usato il tuo, ho apportato una piccola modifica ad un errore di dattilografia eht0 al posto di eth0 mi pare... Comunque, i client windows continuano ad andare in internet... tutto sembra funzionare, ma come faccio ad essere sicuro che funzioni??? Cioè, non che mi fidi del tuo script ma su win avevo da 5 ai 20 attacchi al giorno (subseven e trojan vari...), come faccio a sapere che ora sono blindato e sicuro???
Intanto grazie |
|
|
|
|
04-02-2003, 14:12
|
#14 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Quote:
|
|
|
|
|
|
04-02-2003, 14:38
|
#15 |
|
Bannato
Iscritto dal: Jan 2003
Città: Jesolo
Messaggi: 145
|
Praticamente io ho creato un file di testo (kate) e ci ho inserito dentro:
#!/bin/sh modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_conntrack_irc modprobe ip_nat_irc ## questi sono bene o male tutti i moduli che servono per un utilizzo normale echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ## ora andiamo con la pulizia delle chain standard iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD ## scheda di rete sulla lan iptables -A INPUT -i eth0 -j accept iptables -A OUTPUT -o eth0 -j accept iptables -A FORWARD -i eth0 -j accept iptables -A FORWARD -o eth0 -j accept ## interfaccia ippp0 iptables - A OUTPUT -o ippp0 -m state --state NEW, ESTABLESHED -j ACCEPT iptables - A INPUT -i ippp0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o ippp0 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -j ACCEPT L'ho chiamato "scripto" e messo dentro la cartella radice "/juradatb". Dentro la cartella juradatb ho eseguito "chmod 755 scripto" Dopodichè ho editato con VI il file "/etc/rc.d/rc.local" e ho inserito alla fine: "/juradatb/scripto" Ho fatto giusto????????
|
|
|
|
|
04-02-2003, 18:20
|
#16 | |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
Quote:
PS: si scrive established. scusa gli errori di battitura, ma l'ho scritto mangiando davanti al monitor a lavoro.
__________________
AMD Athlon64X2 4400+@2700Mhz - Asus A8N32-SLI - 1GBddr400 - Dell Inspiron 6000 all powered by Gentoo-Linux Eight days of the week we're dead on our feet, take me aside just shoot me. No black and white, black and white. Wish we could drive right through you. - Eight Days - PitchShifter |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:19.
