Repository 32bit  Forum
Repository 64bit  Wiki

script firewall

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

script firewall

Messaggioda navajo » mar mag 17, 2005 19:45

Ragazzi, forse sarà un pochino ripetitivo, ma vorrei un vostro giudizio <BR>su questo piccolo firewall che ho messo su per il mio pc:<br /> <BR>singolo desktop collegato ad un router in eth0<br /> <BR> <BR> <BR> <BR> <BR> <BR> <BR><pre><span><em>!/bin/bash</em></span> <BR> <BR><span>EXTERNAL=</span>eth0 <BR><span><strong>echo</strong></span> 1 <span><strong>></strong></span> /proc/sys/net/ipv4/tcp_syncookies <BR><span><strong>echo</strong></span> <span>"SYN FLOOD control Loded"</span> <BR><span><strong>echo</strong></span> 1 <span><strong>></strong></span> /proc/sys/net/ipv4/conf/all/rp_filter <BR><span><strong>echo</strong></span> <span>"IP SPOOFING control Loded"</span> <BR> <BR>iptables -F <BR>iptables -P INPUT DROP <BR>iptables -P OUTPUT ACCEPT <BR> <BR><span><em>#Input session</em></span> <BR> <BR>iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT <BR>iptables -A INPUT -i eth0 -p all -m state --state ESTABLISHED,RELATED -j ACCEPT <BR><span><strong>echo</strong></span> <span>"Firewall Loded"<br /><br /><br />pensate che possa andar bene, oppure devo cambiare/aggiungere qualcosa?<br /><br />grazie :D<br /></span> <br /></pre><br /><br>
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3765
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

script firewall

Messaggioda salbutamolo » lun mag 23, 2005 8:06

Ciao a tutti,<br /> <BR>il firewall che, grazie a voi, sono riuscito a sistemare funziona <BR>perfettamente. Tuttavia hi qualche problema con amule: il client si <BR>connette regolarmente al server scelto, poi quando si decide di <BR>iniziare un download tutto sembra funzionare perfettamente fino a che <BR>la lista dei server scompare e bisogna ripetere tutta la procedura. <BR>Inutile dire che il download non va a buon fine. Secondo me il problema <BR>è causato dal fatto che amule lavora tramite porta 4662 o 4672 ora non <BR>ricordo e nel firewall questa porta è tra le unprivileged ports. Parte <BR>del log del firewall durante una connessione di amule ve lo riporto qua <BR>sotto:<br /> <BR>-------------------------------------------------------------------------------------------------------<br /> <BR>21/05/2005 14:03:14    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12567 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK FIN <BR>URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:14    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12569 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:15    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12571 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:16    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12573 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:18    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12575 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:22    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12577 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:30    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12579 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:03:47    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12581 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:04:19    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12583 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR><br /> <BR>21/05/2005 14:05:25    nautilus    <BR>kernel     INVALID ouput: IN= OUT=eth0 <BR>SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64 <BR>ID=12585 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH <BR>FIN URGP=0 <br /> <BR>-------------------------------------------------------------------------------------------------------<br /> <BR>Mi chiedevo se esiste un modo per rendere disponibile questa porta senza spalancarla senza pietà. Have a nice day<br /> <BR><br /> <BR><br /><br>
Avatar utente
salbutamolo
Linux 2.6
Linux 2.6
 
Messaggi: 905
Iscritto il: lun gen 12, 2004 0:00

script firewall

Messaggioda salbutamolo » lun mag 23, 2005 9:25

Ciao a tutti,<br /> <BR>dando un´occhiata alle regole del mio firewall avrei pensato di scriverne una par a mule più o meno così:<br /> <BR>---------------------------------------------------------------------------------------------------------<br /> <BR> <BR> <BR> <BR> <BR> <BR> <BR><pre><strong>if</strong><strong> [</strong> "$CONNECTION_TRACKING" = "1"<strong> ]</strong>; <strong>then</strong><br /> iptables -A OUTPUT -o $INTERNET -p tcp <strong>\</strong><br /> -s $IPADDR --sport $UNPRIVPORTS <strong>\</strong><br /> -d $NAMESERVER --dport 4672 <strong>\</strong><br /> -m state --state NEW -j ACCEPT<br /><strong>fi</strong><br /><br />iptables -A OUTPUT -o $INTERNET -p tcp <strong>\</strong><br /> -s $IPADDR --sport $UNPRIVPORTS <strong>\</strong><br /> -d $NAMESERVER --dport 4672 -j ACCEPT<br /><br />iptables -A INPUT -i $INTERNET -p tcp ! --syn <strong>\</strong><br /> -s $NAMESERVER --sport 4672 <strong>\</strong><br /> -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT<br />-------------------------------------------------------------------------------------------------------<br />Lo stesso farei, naturalmente con le opportune modifiche per la porta udp 4672!<br />Mi viene però un dubbio...nel caso le regole andassero bene rimarebbero comunque sempre a ttive nel firewall<br />e io non sono un grande utilizzatore di amule......forse mi conviene fare uno scriptino che mi apra le porte interessate <br />per iltempo che mi occorrre una cosa tipo questa:<br />---------------------------------------------------------------------------------------------------<br /><em>iptables -A INPUT -p tcp --dport <strong>4662</strong> -j<br /></em><em>iptables -A INPUT -p udp --dport <strong>4672</strong> -j<br />ACCEPT</em><br />-----------------------------------------------------------------------------------------------------<br />per poi richiuderle una volta finito di utilizzare amule, lanciando nuovamente lo script del firewall. Che ne dite voi?<br />Qualè a parer vostro la soluzione migliore? Have a nice day<br /><br /><br /> <br /> <br /><em>ACCEPT</em><br /> <br /></pre><br /><br>
Avatar utente
salbutamolo
Linux 2.6
Linux 2.6
 
Messaggi: 905
Iscritto il: lun gen 12, 2004 0:00

script firewall

Messaggioda gerardo_sl » mar mag 24, 2005 2:34

citazione<br /> <BR>---------------<br /> <BR>Tuttavia hi qualche problema con amule:<br /> <BR>---------------<br /> <BR>Veramente divertente!<br /> <BR>Ciao Sal,<br /> <BR>Non so se riuscirò ad aiutarti questa volta; non conosco amule: la mia porta 4662 subisce tenattivi di intrusioni<br /> <BR>ogni due minuti da un paio d´anni e non me la sento di aprirla per fare dei test.<br /> <BR>Il problema dei download interrotti può avere più cause.<br /> <BR>Il firewall applica la procedura del tracciamento delle connessioni, con INVALID sul modulo state: nei collegamenti<br /> <BR>bidirezionali questo può portare all´interruzione del protocollo se non dotato di supporto ALG (per ora solo su FTP ed IRC).<br /> <BR>Un altro problema può essere dato da come funziona il peer. Se c´é un server centrale che si<br /> <BR>preoccupa semplicemente di comunicare ai vari partecipanti l´indirizzo degli altri, questi ti invieranno<br /> <BR>un pacchetto col solo SYN impostato per chiedere l´accesso ai segmenti del file presenti nel tuo<br /> <BR>computer.Il tuo firewall, però, li rifiuterà e, di conseguenza, gli altri computers inizieranno a <br /> <BR>negarti a loro volta l´accesso.<br /> <BR>Può darsi che ci sia anche dell´altro. I forums hanno una nutrita letteratura nei loro threads su<br /> <BR>questo argomento, ma delle cui soluzioni mi fido poco.<br /> <BR>E´ la prima volta che vedo dei log a riguardo e non mi piacciono per niente. Succede che il<br /> <BR>pacchetto tenta di uscire da una porta dinamica (52103) per raggiungere la 110 (POP3) di <br /> <BR>chi lo aspetta (o non lo aspetta), cioé il server di posta TIN: ci farei un pensierino.<br /> <BR>La mia opinione é che sarebbe meglio costruire un firewall dedicato, dove lasciare aperto solo <br /> <BR>lo stretto necessario per amule (posto che tale "stretto necessario" risulti, poi, lecito). Inoltre<br /> <BR>sarebbe bene chiudere tutti i servizi non indispensabili (escluso sysklogd).<br /> <BR>Sarebbe bene dotarsi anche di Portsentry per bloccare eventuali tentativi di portscan; chkrootkit<br /> <BR>ed altri tools per analizzare lo stato del sistema a trasferimanto avvenuto.<br /> <BR><br /> <BR>Io ho usato un paio di volte Bitorrent con P.H.L.A.K.: rigorosamente in CD-Live, montavo una partizione vuota<br /> <BR>dove stockare i files da prelevare, caricavo le difese ed avviavo il download.<br /> <BR><br /> <BR>.................................................................................................................................<br /> <BR><br /> <BR>Ho visto un post di Navajo.<br /> <BR>Ciao Navajo e senti una cosa: anche se navighi dietro un router dotato di firewall, il suo NAT<br /> <BR>é perforabile se sono abilitati gli scripting java (chissà come gongola Useless); di conseguenza<br /> <BR>é opportuno che anche quello del computer abbia le <a href="mailto:p@%21%21e.%3Cbr" target="_new">p@!!e. <== Ehm, non scrivetemi a queso indirizzo: non é la mia email<br /></a><br /><BR><BR>[ Questo Messaggio è stato Modificato da: gerardo_sl il 25-05-2005 02:39 ]<br>
gerardo_sl
Linux 1.0
Linux 1.0
 
Messaggi: 55
Iscritto il: mer mar 16, 2005 0:00

script firewall

Messaggioda salbutamolo » mar mag 24, 2005 7:18

Ciao Gerardo,<br /> <BR>sempre prodigo nell´aiutarmi su iptables....ca**o sono una bestia su sto argomento devo migliorare :-(<br /> <BR>BTW, nemmeno a me piacevano quei log, e non ho intenzione di costruire <BR>un firewall dedicato ad amule, se il firewall decide che è male bene <BR>male sia....non voglio intrusioni. Userò una distro live, come fai tu, <BR>se proprio devo usare un p2p. Ripeto ne faccio uso veramente sporadico! <BR>BTW, sono contento che la versione finale del mio firewall faccia il <BR>suo mestiere. Grazie ancora,<br /> <BR>have a nice day<br /> <BR><br /> <BR><br /><br>
Avatar utente
salbutamolo
Linux 2.6
Linux 2.6
 
Messaggi: 905
Iscritto il: lun gen 12, 2004 0:00

script firewall

Messaggioda gerardo_sl » mer mag 25, 2005 1:36

Io, invece, il firewall lo farei, anzi, lo farò.<br /> <BR>Tieni presente che l´utilizzo di una Live non ti risolve tutti i problemi. Certo, se ti scassano il sistema<br /> <BR>basta riavviare, inoltre non ci saranno configurati alcuni servizi come posta o news; ma dovrai<br /> <BR>comunque creare un utente normale e cambiare la password di root, giacché ti potrebbero comunque<br /> <BR>formattare i dischi fissi (ed allora credo che probabilmente sarebbe peggio che non usare la <br /> <BR>normale installazione).<br /> <BR>Inoltre saresti comunque esposto a fare da sponda per un attacco diretto ad altri ed a questo scopo<br /> <BR>immagino che i computers privati siano i più appetibili (certo non vai a pagare un professonista<br /> <BR>della sicurezza per utilizzare emule).<br /> <BR>Alla fine il firewall che mandi fuori dalla porta, ti rientra dalla finestra; mettiti il cuore in pace: non<br /> <BR>puoi farne a meno.<br /> <BR>Io, poi, non ho parlato a caso di PHLAK e Bitorrent. Bitorrent é estremamente semplice e credo<br /> <BR>che emule non sia altrettanto; mentre PHLACK é dotato di tutti gli strumenti di analisi di rete.<br /> <BR>Puoi alzare il livello di sicurezza del sistema creando gruppo ed utente destinato allo scopo, in <br /> <BR>modo che abbia privilegi ancora più limitati del normale: senza possibilità di accesso a posta<br /> <BR>od altro, limitando il suo Path e magari installando ciò che deve utilizzare direttamente nella<br /> <BR>directory personale. Penso che si possa arrivare ad un buon livello di sicurezza.<br /> <BR><br /> <BR>Devo capire esattamente come funziona questo emule, quindi andrò a procurarmi i sorgenti<br /> <BR>e guadarci dentro: mi occore un pò di tempo.<br /> <BR>Dai un´occhiata al thread ogni tanto: se ci troverai un´icona in testa potrei essere io che ho<br /> <BR>quacosa da dirti.<br /> <BR>Ciao.<br /><br>
gerardo_sl
Linux 1.0
Linux 1.0
 
Messaggi: 55
Iscritto il: mer mar 16, 2005 0:00

script firewall

Messaggioda gerardo_sl » gio mag 26, 2005 1:55

Ciao Sal,<br /> <BR>ho guardato un po´ di cose e non sono troppo fiducioso: Amule sembra chiedere un po´ troppo (almeno secondo<br /> <BR>la documentazione, che però é scarsina).<br /> <BR>Ho comunque steso una bozza che troverai in allegato: é piuttosto restrittiva, ma vorrei vedere se si accontenta<br /> <BR>(qualcosa di più possiamo dargi).<br /> <BR>Dovrai inserire i tuoi parametri (tuo IP e DNS); potrai solo usare Amule (posto che funzioni) e fare una limitata<br /> <BR>navigazione web. Non hai molto da temere giacché sono stati disabilitati tutti gli altri servizi. E´ possibile che trovi<br /> <BR>molti log:niente paura, li ho ablitati appositamente per sapere cosa chiede il programma. Quelli che mi <br /> <BR>interessano sono quelli col prefisso tipo "unauthorized tcp (udp)" , in particolare se ce n´é qualcuno che <br /> <BR>riguarda le porte 113 e 443 (non mettermene 50 righe, però). <br /> <BR>Può darsi che funzioni, che non funzioni, o che vada lento; fammelo sapere.<br /> <BR>Buona fortuna.<br /> <BR> <BR>[ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:40 ] <BR><BR><BR>[ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:41 ]<br>
gerardo_sl
Linux 1.0
Linux 1.0
 
Messaggi: 55
Iscritto il: mer mar 16, 2005 0:00

script firewall

Messaggioda salbutamolo » gio mag 26, 2005 7:01

Ciao Gerardo,<br /> <BR>grazie dell´interessamento ora provo se amule si accontenta e altrimenti che si impicchi al più alto pennone! :-)<br /> <BR>Have a nice day<br /> <BR><br /> <BR><br /><br>
Avatar utente
salbutamolo
Linux 2.6
Linux 2.6
 
Messaggi: 905
Iscritto il: lun gen 12, 2004 0:00

Precedente

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti