Firewall

[zergling]

Grazie ancora per il vostro supporto e soprattuto a te ANDY CAPS
Vi scrivo perche questa volta ho un problema con il firewall.
Io Vorrei soltanto navigare e scaricare e poter giocare, tutte le restanti porte le vorrei chiudere, come devo fare ?
Io nel firewall avevo spuntato opzione : nessun firewall e avevo selezionato ftp e browser internet, ma non mi funcia
Sono proprio una pippa
Ciao e in anticipo grazie a tutti anche solo a quelli che leggono il mio post

[Pang]

Eh eh eh, scommetto che usi mandrake . Fai cosi, togli il firewall da interfaccia grafica, questo script di iptables ti risolverà il problema:

#!/bin/bash

# caricamento moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc

# opzioni
echo "1" > /proc/sys/net/ipv4/ip_forward

# pulizia delle catene standard
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# politica standard: rifiuto di tutti i pacchetti non espressamente accettati
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# creazione nuove catene
iptables -N laninet
iptables -N inetlan

# inserimento delle nuove catene in quelle principali
iptables -A INPUT -i tua_interfaccia -j inetlan
iptables -A OUTPUT -o tua_interfaccia -j laninet

# dalla lan a internet
iptables -A laninet -p icmp -s 192.168.0.0/24 -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport www -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport 443 -j ACCEPT
iptables -A laninet -p udp -s 192.168.0.0/24 --dport 443 -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport pop3 -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport smtp -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport ftp -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport domain -j ACCEPT
iptables -A laninet -p udp -s 192.168.0.0/24 --dport domain -j ACCEPT
iptables -A laninet -p tcp -s 192.168.0.0/24 --dport domain -j ACCEPT
iptables -A laninet -p udp -s 192.168.0.0/24 --dport domain -j ACCEPT
iptables -A laninet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset
iptables -A laninet -p udp -j REJECT

# da internet alla lan
iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset
iptables -A inetlan -p udp -j REJECT


Con questo script hai abilitato la navigazione in internet, l'invio e la ricezione di e-mail, la connessione ai dns, l'ftp e la navigazione https; dove c'è scritto tua interfaccia devi mettere l'interfaccia di connessione, ad esempio eth0 se è una scheda di rete, ppp0 se è un modem, ecc...

Se hai dubbi chiedi pure.

Ciao

[kingv]

Quote:

Originariamente inviato da Pang

# politica standard: rifiuto di tutti i pacchetti non espressamente accettati
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

sicuro ?

[The X]

Quote:

Originariamente inviato da Pang

# politica standard: rifiuto di tutti i pacchetti non espressamente accettati
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Deve essere per forza DROP ^_^

[Pang]

Azzo non me ne sono mai accorto ! Quindi io ne stavo allegramente connesso a internet 24 ore su 24 senza protezione. Fico !

Ciao

[zergling]

Scusate la mia mia stupidità, ma come faccio ad uscire dal firewall grafico ?
Io ho provato ad aprire il file ip_forward con kwrite ed ho scritto tutto quello che mi avevi detto, ho fatto bene oppure no ?
Invece per quanto riguarda i comandi :

#!/bin/bash

# caricamento moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc

non so come metterli, e dove sopratuttto
Abbiate pazienza
Ciao

[The X]

Quote:

Originariamente inviato da zergling
Scusate la mia mia stupidità, ma come faccio ad uscire dal firewall grafico ?
Io ho provato ad aprire il file ip_forward con kwrite ed ho scritto tutto quello che mi avevi detto, ho fatto bene oppure no ?
Invece per quanto riguarda i comandi :

#!/bin/bash

# caricamento moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc

non so come metterli, e dove sopratuttto
Abbiate pazienza
Ciao

Beppe... hai fatto male ^_^

Lo script d iptable lo puoi creare dove vuoi e col nome che vuoi dopo d ke SE vuoi farlo caricare all'avvio lo metti nel giusto file (tipo inet.d, rc.local ecc ecc) ed esso viene lanciato...
Sinceramente la Mdk è 1 vita ke nn la installo + quindi nn so come funzia MA se guardi fra i processi caricati all'avvio c deve essere per forza anke il fw caricato...

[zergling]

Scusa sacco, ma allora vieni da me che famo prima

[zergling]

Quote:

Originariamente inviato da The X
Beppe... hai fatto male ^_^

Lo script d iptable lo puoi creare dove vuoi e col nome che vuoi dopo d ke SE vuoi farlo caricare all'avvio lo metti nel giusto file (tipo inet.d, rc.local ecc ecc) ed esso viene lanciato...
Sinceramente la Mdk è 1 vita ke nn la installo + quindi nn so come funzia MA se guardi fra i processi caricati all'avvio c deve essere per forza anke il fw caricato...

MA come devo fare, io sono un principiante e non so come fare

[Pang]

Metodo su Debian: ti logghi come root, crei un file che si chiama firewall in /etc/init.d/ e ci copi dentro tutto.
A questo punto gli setti i permessi giusti per renderlo eseguibile in questo modo:
chmod 755 /etc/init.d/firewall

e crei un link simbolico in modo che parta all'avvio nella directory del runlevel con cui parte il tuo sistema (su Debian di default è 2):

ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

S99 sta ad indicare quando lo script puo avviarsi al boot, puoi scegliere da 0 (mi pare) ad appunto 99.

Ciao

[zergling]

Ciao Pang, ti dico per filo e per segno coem ho fatto :
Da root sono andato nella dir /etc/init.d/ ho copiato uno dei file che erano li e gli ho messo tutte le righe di comando che mi hai detto tu.
Infine l ho slavato con il nonme firewall.
Poi dal terminale root ho digitato chmod 755 /etc/init.d/firewall.
Alla fine ho digitato ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall
Ho riavviato il sistema e sono andato su un sito dove ti testano il firewall, ma mi dice che ho le porte aperte
Dove ho sbagliato ?!
il sito è : http://www.pcflank.com/about.htm
Abbi pazienza pang

NB ho notato che nell'avvio non mi ha caricato il firewall... almeno credo

[Burns]

Quote:

Originariamente inviato da Pang
Azzo non me ne sono mai accorto ! Quindi io ne stavo allegramente connesso a internet 24 ore su 24 senza protezione. Fico !

Questa mi ha distrutto!

[khri81]

pang ho provato il tuo file di configurazione, è talmente efficace che nn riesco a caricare nessun indirizzo!!! fortuna che riavviando il pc si resetta tutta la conf di iptables ascolta secondo te x quale motivo nn riesco più ad andarer in nessun sito? nemmeno a scaricare la posto, insomma nn riesco più a fare nulla con internet.

[zergling]

Dai vabbe, ci rinucio, vorra dire che staro senza firewall

[The X]

Quote:

Originariamente inviato da khri81
ascolta secondo te x quale motivo nn riesco più ad andarer in nessun sito? nemmeno a scaricare la posto, insomma nn riesco più a fare nulla con internet.

Probabilmente perchè non hai lasciato aperto il traffico in entrata dalla porta 80 (che è quella usata dal http)

[The X]

Quote:

Originariamente inviato da zergling
Scusa sacco, ma allora vieni da me che famo prima

Appena avrò tempo ed appena avrò sistamato a puntino il mio FW potrò anke passare da te (così t riporto Devilman Amon...gh gh)

[Pang]

Quote:

Originariamente inviato da khri81
pang ho provato il tuo file di configurazione, è talmente efficace che nn riesco a caricare nessun indirizzo!!! fortuna che riavviando il pc si resetta tutta la conf di iptables ascolta secondo te x quale motivo nn riesco più ad andarer in nessun sito? nemmeno a scaricare la posto, insomma nn riesco più a fare nulla con internet.

[quote]iptables -A INPUT -i tua_interfaccia -j inetlan
iptables -A OUTPUT -o tua_interfaccia -j laninet[quote]

[Pang]

Quote:

Originariamente inviato da zergling
Ciao Pang, ti dico per filo e per segno coem ho fatto :
Da root sono andato nella dir /etc/init.d/ ho copiato uno dei file che erano li e gli ho messo tutte le righe di comando che mi hai detto tu.
Infine l ho slavato con il nonme firewall.
Poi dal terminale root ho digitato chmod 755 /etc/init.d/firewall.
Alla fine ho digitato ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall
Ho riavviato il sistema e sono andato su un sito dove ti testano il firewall, ma mi dice che ho le porte aperte
Dove ho sbagliato ?!
il sito è : http://www.pcflank.com/about.htm
Abbi pazienza pang

NB ho notato che nell'avvio non mi ha caricato il firewall... almeno credo

Strano, a me rileva aperta solo l'80

http://pang.no-ip.biz/immagine.jpg

[zergling]

Ecco le porte aperte che mi trova :


Warning!
The test found visible port(s) on your system: 21, 23, 80, 135, 137, 138, 139, 1080, 3128

Warning!
The test found visible ports on your system: 27374, 12345, 1243, 31337, 12348.
The following Trojans use these ports: SubSeven, NetBus, SubSeven, Back Orifice, BioNet

Ho fatto come mi hai detto tu per filo e per segno.
Un altra cosa, am ogni volta che riavvio il pc, rimane memorizzato oppure devo rifare tutto ?
Ciao.

[l.golinelli]

Se hai solo un PC non ha senso quello script lassù...

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT --dport 6000 -j LOG # E così per tutte le porte che vuoi chiudere
iptables -A INPUT --dport 6000 -j LOG # Idem