script firewall

da **navajo** » mar mag 17, 2005 20:45

Ragazzi, forse sarà un pochino ripetitivo, ma vorrei un vostro giudizio su questo piccolo firewall che ho messo su per il mio pc: singolo desktop collegato ad un router in eth0 <pre>!/bin/bash EXTERNAL=eth0 echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo "SYN FLOOD control Loded" echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo "IP SPOOFING control Loded" iptables -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT #Input session iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT iptables -A INPUT -i eth0 -p all -m state --state ESTABLISHED,RELATED -j ACCEPT echo "Firewall Loded" pensate che possa andar bene, oppure devo cambiare/aggiungere qualcosa? grazie

</pre>

da **salbutamolo** » lun mag 23, 2005 9:06

Ciao a tutti, il firewall che, grazie a voi, sono riuscito a sistemare funziona perfettamente. Tuttavia hi qualche problema con amule: il client si connette regolarmente al server scelto, poi quando si decide di iniziare un download tutto sembra funzionare perfettamente fino a che la lista dei server scompare e bisogna ripetere tutta la procedura. Inutile dire che il download non va a buon fine. Secondo me il problema è causato dal fatto che amule lavora tramite porta 4662 o 4672 ora non ricordo e nel firewall questa porta è tra le unprivileged ports. Parte del log del firewall durante una connessione di amule ve lo riporto qua sotto: ------------------------------------------------------------------------------------------------------- 21/05/2005 14:03:14 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12567 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK FIN URGP=0 21/05/2005 14:03:14 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12569 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:15 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12571 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:16 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12573 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:18 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12575 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:22 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12577 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:30 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12579 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:03:47 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12581 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:04:19 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12583 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 21/05/2005 14:05:25 nautilus kernel INVALID ouput: IN= OUT=eth0 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=12585 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH FIN URGP=0 ------------------------------------------------------------------------------------------------------- Mi chiedevo se esiste un modo per rendere disponibile questa porta senza spalancarla senza pietà. Have a nice day

da **salbutamolo** » lun mag 23, 2005 10:25

Ciao a tutti, dando un´occhiata alle regole del mio firewall avrei pensato di scriverne una par a mule più o meno così: --------------------------------------------------------------------------------------------------------- <pre>if [ "$CONNECTION_TRACKING" = "1" ]; then iptables -A OUTPUT -o $INTERNET -p tcp \ -s $IPADDR --sport $UNPRIVPORTS \ -d $NAMESERVER --dport 4672 \ -m state --state NEW -j ACCEPT fi iptables -A OUTPUT -o $INTERNET -p tcp \ -s $IPADDR --sport $UNPRIVPORTS \ -d $NAMESERVER --dport 4672 -j ACCEPT iptables -A INPUT -i $INTERNET -p tcp ! --syn \ -s $NAMESERVER --sport 4672 \ -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT ------------------------------------------------------------------------------------------------------- Lo stesso farei, naturalmente con le opportune modifiche per la porta udp 4672! Mi viene però un dubbio...nel caso le regole andassero bene rimarebbero comunque sempre a ttive nel firewall e io non sono un grande utilizzatore di amule......forse mi conviene fare uno scriptino che mi apra le porte interessate per iltempo che mi occorrre una cosa tipo questa: --------------------------------------------------------------------------------------------------- iptables -A INPUT -p tcp --dport 4662 -j iptables -A INPUT -p udp --dport 4672 -j ACCEPT ----------------------------------------------------------------------------------------------------- per poi richiuderle una volta finito di utilizzare amule, lanciando nuovamente lo script del firewall. Che ne dite voi? Qualè a parer vostro la soluzione migliore? Have a nice day ACCEPT </pre>

da **gerardo_sl** » mar mag 24, 2005 3:34

citazione --------------- Tuttavia hi qualche problema con amule: --------------- Veramente divertente! Ciao Sal, Non so se riuscirò ad aiutarti questa volta; non conosco amule: la mia porta 4662 subisce tenattivi di intrusioni ogni due minuti da un paio d´anni e non me la sento di aprirla per fare dei test. Il problema dei download interrotti può avere più cause. Il firewall applica la procedura del tracciamento delle connessioni, con INVALID sul modulo state: nei collegamenti bidirezionali questo può portare all´interruzione del protocollo se non dotato di supporto ALG (per ora solo su FTP ed IRC). Un altro problema può essere dato da come funziona il peer. Se c´é un server centrale che si preoccupa semplicemente di comunicare ai vari partecipanti l´indirizzo degli altri, questi ti invieranno un pacchetto col solo SYN impostato per chiedere l´accesso ai segmenti del file presenti nel tuo computer.Il tuo firewall, però, li rifiuterà e, di conseguenza, gli altri computers inizieranno a negarti a loro volta l´accesso. Può darsi che ci sia anche dell´altro. I forums hanno una nutrita letteratura nei loro threads su questo argomento, ma delle cui soluzioni mi fido poco. E´ la prima volta che vedo dei log a riguardo e non mi piacciono per niente. Succede che il pacchetto tenta di uscire da una porta dinamica (52103) per raggiungere la 110 (POP3) di chi lo aspetta (o non lo aspetta), cioé il server di posta TIN: ci farei un pensierino. La mia opinione é che sarebbe meglio costruire un firewall dedicato, dove lasciare aperto solo lo stretto necessario per amule (posto che tale "stretto necessario" risulti, poi, lecito). Inoltre sarebbe bene chiudere tutti i servizi non indispensabili (escluso sysklogd). Sarebbe bene dotarsi anche di Portsentry per bloccare eventuali tentativi di portscan; chkrootkit ed altri tools per analizzare lo stato del sistema a trasferimanto avvenuto. Io ho usato un paio di volte Bitorrent con P.H.L.A.K.: rigorosamente in CD-Live, montavo una partizione vuota dove stockare i files da prelevare, caricavo le difese ed avviavo il download. ................................................................................................................................. Ho visto un post di Navajo. Ciao Navajo e senti una cosa: anche se navighi dietro un router dotato di firewall, il suo NAT é perforabile se sono abilitati gli scripting java (chissà come gongola Useless); di conseguenza é opportuno che anche quello del computer abbia le <a href="mailto:p@%21%21e.%3Cbr" target="_new">p@!!e. <== Ehm, non scrivetemi a queso indirizzo: non é la mia email </a> [ Questo Messaggio è stato Modificato da: gerardo_sl il 25-05-2005 02:39 ]

da **salbutamolo** » mar mag 24, 2005 8:18

Ciao Gerardo, sempre prodigo nell´aiutarmi su iptables....ca**o sono una bestia su sto argomento devo migliorare :-(

BTW, nemmeno a me piacevano quei log, e non ho intenzione di costruire un firewall dedicato ad amule, se il firewall decide che è male bene male sia....non voglio intrusioni. Userò una distro live, come fai tu, se proprio devo usare un p2p. Ripeto ne faccio uso veramente sporadico! BTW, sono contento che la versione finale del mio firewall faccia il suo mestiere. Grazie ancora, have a nice day

da **gerardo_sl** » mer mag 25, 2005 2:36

Io, invece, il firewall lo farei, anzi, lo farò. Tieni presente che l´utilizzo di una Live non ti risolve tutti i problemi. Certo, se ti scassano il sistema basta riavviare, inoltre non ci saranno configurati alcuni servizi come posta o news; ma dovrai comunque creare un utente normale e cambiare la password di root, giacché ti potrebbero comunque formattare i dischi fissi (ed allora credo che probabilmente sarebbe peggio che non usare la normale installazione). Inoltre saresti comunque esposto a fare da sponda per un attacco diretto ad altri ed a questo scopo immagino che i computers privati siano i più appetibili (certo non vai a pagare un professonista della sicurezza per utilizzare emule). Alla fine il firewall che mandi fuori dalla porta, ti rientra dalla finestra; mettiti il cuore in pace: non puoi farne a meno. Io, poi, non ho parlato a caso di PHLAK e Bitorrent. Bitorrent é estremamente semplice e credo che emule non sia altrettanto; mentre PHLACK é dotato di tutti gli strumenti di analisi di rete. Puoi alzare il livello di sicurezza del sistema creando gruppo ed utente destinato allo scopo, in modo che abbia privilegi ancora più limitati del normale: senza possibilità di accesso a posta od altro, limitando il suo Path e magari installando ciò che deve utilizzare direttamente nella directory personale. Penso che si possa arrivare ad un buon livello di sicurezza. Devo capire esattamente come funziona questo emule, quindi andrò a procurarmi i sorgenti e guadarci dentro: mi occore un pò di tempo. Dai un´occhiata al thread ogni tanto: se ci troverai un´icona in testa potrei essere io che ho quacosa da dirti. Ciao.

da **gerardo_sl** » gio mag 26, 2005 2:55

Ciao Sal, ho guardato un po´ di cose e non sono troppo fiducioso: Amule sembra chiedere un po´ troppo (almeno secondo la documentazione, che però é scarsina). Ho comunque steso una bozza che troverai in allegato: é piuttosto restrittiva, ma vorrei vedere se si accontenta (qualcosa di più possiamo dargi). Dovrai inserire i tuoi parametri (tuo IP e DNS); potrai solo usare Amule (posto che funzioni) e fare una limitata navigazione web. Non hai molto da temere giacché sono stati disabilitati tutti gli altri servizi. E´ possibile che trovi molti log:niente paura, li ho ablitati appositamente per sapere cosa chiede il programma. Quelli che mi interessano sono quelli col prefisso tipo "unauthorized tcp (udp)" , in particolare se ce n´é qualcuno che riguarda le porte 113 e 443 (non mettermene 50 righe, però). Può darsi che funzioni, che non funzioni, o che vada lento; fammelo sapere. Buona fortuna. [ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:40 ] [ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:41 ]

da **salbutamolo** » gio mag 26, 2005 8:01

Ciao Gerardo, grazie dell´interessamento ora provo se amule si accontenta e altrimenti che si impicchi al più alto pennone! :-)

Have a nice day

Chi c’è in linea