Repository 32bit  Forum
Repository 64bit  Wiki

iptables: fedora vs slackware.

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables: fedora vs slackware.

Messaggioda Bakkio2 » gio giu 16, 2005 19:29

Ciao a tutti:
Leggendo l'oggetto del mio topic, so già che molti di voi hanno pensato male di me, ma proprio non sapevo come introdurvi il mio dilemma.
Fino a pochi giorni fa, ho configurato solo iptables su fedora, e la mia configurazione funzionava proprio come volevo io. Ma adesso che lavoro con slack, le mie configurazioni non funzionano.
Spiego subito che ho una lan, con un router centrale, e uno dei miei pc sto cercando di renderlo server.
In questo pc ho installato tutto a dovere (Squid, Samba, Proftpd, named, nfs).
Ma quando attivo il firewall, il "server" si chiude e non accetta e non spedisce niente.
Girando sul forum però, ho notato delle sostanziali differenze rispetto al mio vecchio firewall fedora, e mi sono venuti dei dubbi...
In primo luogho mi chiedo: Ma non è che iptables di fedora 2 core, lavori in maniera diversa rispetto all'iptables di slack 10.0?!?
Secondo, io all'inizio del firewall di fedora mettevo che la default policy era drop, cioè per prima cosa chiudevo tutto, e poi mettevo le varie regole di cosa accettare. NON è che percaso slack, una volta che imposto le default policy a drop, si ferma li, e non legge le seguenti regole?
Terzo: noto che molti di voi quando vogliono bloccare qualcosa, mettono -j stop, mentre io metto -j drop. Che differenza c'è tra i due metodi?

Se poi volete vi posto il mio file di configurazione di iptables, per ora è già toppo lungo il mio messaggio, e preferisco non aggiungere troppe robe...

Grazie a chi mi vorrà aiutare.

P.s. Mi chiedevo anche un'ultima cosa....
Noto che molto spesso chi fa degli attacchi hacker, riesce a nascondersi dai vari port scanner e ping, ma sono in realtà attivi. Io riesco a mascherarmi dai ping, ma dai port scanner come si fa?
grazie a tutti e.... FORZA SLACKY
Avatar utente
Bakkio2
Linux 2.4
Linux 2.4
 
Messaggi: 286
Iscritto il: gio mar 24, 2005 0:00
Località: Villesse (GO)
Nome Cognome: Carlo B.
Slackware: 13.37 64
Kernel: 2.6.33.4-smp
Desktop: kde-4.4.3

Messaggioda Sawk » gio giu 16, 2005 19:38

emmm...iptables è uno solo non cambia da distros :D
Probabile che la slackware utilizzi delle opzioni in /proc di default che magari possono risultare diverse rispetto a Fedora, ma questo non lo so. Prova a sbirciare tra le opzioni del kernel e i moduli per iptables, probabilmente sono quelli (ovviamente parlo per presupposto)

Ciao OhiOhiOhi ora OhiAhiOhi

____________________________________________________________________________________
Meglio una chitarra oggi che due cornazze domani ;-)
Avatar utente
Sawk
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: dom feb 06, 2005 0:00
Località: Pordenone, Italy

Messaggioda useless » gio giu 16, 2005 21:08

uhrm, fedora, se non ricordo male, usa un file la configurazione del firewall tipo:
Codice: Seleziona tutto
:INPUT DROP
:OUTPUT ACCEPT
:FORWARD DROP

ecc...


questo è parsato e trasformato in comandi iptables da uno script di fedora. se questo è il caso, dovrai fare qualche modifica o scrivere un piccolo script che faccia altrettanto.
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

ok, ora vi mando la configurazione

Messaggioda Bakkio2 » gio giu 16, 2005 21:58

Scusate la lunghezza.... comunque questa è la mia configurazione, ma appena la avvio, il pc non fa assolutamente niente....

#!/bin/sh

#########################################################
# #
# /etc/iptables.conf per 192.168.0.10 B2S #
# #
#########################################################


#########################
# #
# INIZIO #
# #
#########################


#########################################
# #
# Impostazione di alcune variabili #
# #
#########################################

## Percorso dell'eseguibile
#
IPTABLES="/usr/sbin/iptables"

## Percorso degli eseguibili per la gestione dei moduli
#
DEPMOD="/sbin/depmod"
MODPROBE="/sbin/modprobe"

## Indirizzi IP
# Interno (LAN)
LAN_IP="192.168.192.168"
# Esterno (verso Internet)
EXT_IP="192.168.0.10"
# Indirizzo della classe della LAN
LAN_CLASS="192.168.192.0/24"
# Indirizzo dei DNS
DNS1_IP="192.168.0.10" # dns interno alla macchina Named
DNS1_IP="151.168.0.1" # dns interno alla lan B-FOCUS 342+
DNS2_IP="151.168.100.1" # dns.aliceadsl.it

echo
echo " Caricamento delle regole del firewall in corso ..."


#########################################
# #
# Check: e' abilitato il forward? #
# #
#########################################

echo
echo " Sto controllando se sia abilitato il forward dei pacchetti."
#
if [ `cat /proc/sys/net/ipv4/ip_forward` -ne 1 ] ; then
echo
echo " Sto abilitando il forward dei pacchetti attraverso questo firewall (proxy1)."
echo 1 > /proc/sys/net/ipv4/ip_forward # se non e' attivo lo attivo qui
if [ $? -ne 0 ] ; then
echo " Si e' verificato un errore nell'attivazione del forward dei pacchetti."
echo " Questo script sara' interrotto ora."
exit 1
fi
fi
#
echo
echo " Fatto."


#########################################
# #
# Si vuotano le catene delle regole #
# #
#########################################

echo
echo " Sto cancellando le regole da tutte le tabelle."
#
echo
echo -n " ."
$IPTABLES -F
echo -n " ."
$IPTABLES -t nat -F
echo " ."
$IPTABLES -t mangle -F
#
echo
echo " Fatto."


#########################################
# #
# Si definiscono le policy di default #
# #
#########################################

# Blocco tutto cosi' sono sicuro poi di quel che lascio passare!
#
echo
echo " Stabilisco la policy di default per le catene principali."
$IPTABLES -P INPUT DROP
echo " INPUT: DROP"
$IPTABLES -P FORWARD DROP
echo " FORWARD: DROP"
$IPTABLES -P OUTPUT DROP
echo " OUTPUT: DROP"
#
echo
echo " Fatto."


#########################################
# #
# Carico alcuni moduli #
# #
#########################################

# stateful connection tracking framework
$MODPROBE ip_conntrack

# connection tracking per l'FTP
$MODPROBE ip_conntrack_ftp

# FTP NAT functionality
#$MODPROBE ip_nat_ftp


#########################################
# #
# Definisco le regole... #
# #
#########################################

echo
echo " Ora carico le regole per l'accesso a/attraverso questo firewall (proxy1)."


#########################
# #
# INPUT e OUTPUT #
# #
#########################

echo
echo " Il PING e' permesso DA/PER questo firewall solo se proveniente da ${LAN_CLASS},"
echo " se originato dall'esterno (Internet) sara' bloccato."
#
## PING (icmp)
# Permetto il ping solo se dalla rete interna al server o verso l'esterno, se proviene
# dall'esterno accetto solo le risposte a cio' che parte dal firewall o dalla rete interna
#
# DA/PER Localhost
$IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
# DA/PER la LAN
$IPTABLES -A INPUT -p icmp -d $LAN_IP -s $LAN_CLASS -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -d $LAN_CLASS -s $LAN_IP -j ACCEPT
# DA/PER Internet
$IPTABLES -A INPUT -p icmp -d $EXT_IP -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -s $EXT_IP -m state --state NEW,ESTABLISHED -j ACCEPT


echo
echo " L'accesso alle risorse HTTP ed HTTPS e' consentito solo DA questo firewall"
echo " verso l'esterno; i client della rete $LAN_CLASS DOVRANNO utilizzare il"
echo " proxy server."
#
## HTTP/HTTPS
# Permetto le connessioni HTTP/HTTPS solo se partono DA locale verso le porte
# 80/443 o se tornano indietro in caso di connessione già stabilita!
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -m multiport --dports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -m multiport --dports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -m multiport --sports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -m multiport --sports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


echo
echo " L'accesso ai DNS esterni e' permesso solo al firewall, per i client dovra' provvedere"
echo " il proxy server."
#
## DNS
# 1
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -d $DNS1_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -d $DNS1_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -s $DNS1_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -s $DNS1_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
# 2
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -d $DNS2_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -d $DNS2_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -s $DNS2_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -s $DNS2_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Accetto le richieste sul mio DNS
$IPTABLES -A INPUT -p tcp -d $LAN_IP -s $LAN_CLASS --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $LAN_IP -s $LAN_CLASS --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $LAN_IP -d $LAN_CLASS --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $LAN_IP -d $LAN_CLASS --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo
echo " L'accesso ai siti FTP e' attivo SOLO per il firewall, il FORWARD e' bloccato"
#
## FTP
# Attivo (da questa macchina e ritorno)
# Comandi (il client FTP -questa macchina- instaura una NUOVA connessione verso la porta 21
# del server: si accettano in uscita le connessioni, in entrata solo le risposte a
# connessioni gia' instaurate)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# Dati (e' il server FTP ad iniziare una NUOVA connessione verso il client -questa macchina-,
# pero' si puo' sfruttare lo stato "RELATED" di questa nuova connessione per decidere
# cosa vada accettato e cosa no)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Passivo
# Comandi: gia' abilitati sopra, con la modalita' "attiva"
# Dati: e' necessario abilitare in uscita tutte le connessioni di tipo "RELATED" o "ESTABLISHED"
# che partono dalle porte alte (>1023)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT


echo
echo " Apro la porta su cui Squid e' in ascolto"
#
## SQUID
# Permetto di entrare sulla porta 3128 (su cui Squid ascolta) dalla LAN
SQUID_PORT="3128"
#
$IPTABLES -A INPUT -p tcp -d $LAN_IP -s $LAN_CLASS --dport $SQUID_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $LAN_IP -s $LAN_CLASS --dport $SQUID_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
# Permetto alle risposte di Squid di tornare verso la LAN
$IPTABLES -A OUTPUT -p tcp -s $LAN_IP -d $LAN_CLASS --sport $SQUID_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $LAN_IP -d $LAN_CLASS --sport $SQUID_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT


#########################
# #
# NAT #
# #
#########################

## Faccio il NAT di tutto quello che esce dalla macchina e che provviene dalla LAN
#
echo
echo " Abilito il NAT per tutti i pacchetti che partono dalla LAN e vanno verso"
echo " Internet (quelli cioe' che NON sono generati in locale)."
echo " Maschero gli indirizzi dei client della rete con l'indirizzo del firewall"
echo " per permettere ai pacchetti di risposta di raggiungere la destinazione."
#
$IPTABLES -t nat -A POSTROUTING -p ALL -s $LAN_CLASS -j SNAT --to-source $EXT_IP


#########################
# #
# FORWARD #
# #
#########################

## PING (dalla LAN verso l'esterno e risposte...)
#
echo
echo " Permetto al PING di attraversare il firewall dalla LAN verso Internet ed"
echo " alle relative risposte di raggiungere il destinatario."
#
$IPTABLES -A FORWARD -p icmp -s $LAN_CLASS -j ACCEPT
$IPTABLES -A FORWARD -p ICMP -d $LAN_CLASS -m state --state RELATED,ESTABLISHED -j ACCEPT

# forward per http/https
$IPTABLES -A FORWARD -p tcp -s $LAN_CLASS -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN_CLASS -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN_CLASS -m multiport --sports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN_CLASS -m multiport --sports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPT





#########################
# #
# FINE #
# #
#########################
Avatar utente
Bakkio2
Linux 2.4
Linux 2.4
 
Messaggi: 286
Iscritto il: gio mar 24, 2005 0:00
Località: Villesse (GO)
Nome Cognome: Carlo B.
Slackware: 13.37 64
Kernel: 2.6.33.4-smp
Desktop: kde-4.4.3

Messaggioda touchstyle » ven giu 17, 2005 7:11

Dove metti questo script? In /etc/rc.d? Sicuro che sia eseguibile?
Avatar utente
touchstyle
Linux 3.x
Linux 3.x
 
Messaggi: 1085
Iscritto il: mer mag 12, 2004 23:00
Località: Portogruaro [VE]
Slackware: 12.1
Kernel: 2.6.27
Desktop: KDE

Messaggioda useless » ven giu 17, 2005 7:35

postaci un iptables -L -v -n dopo che l'hai lanciato.
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

Messaggioda Sawk » ven giu 17, 2005 11:05

di solito per conoscere il problema si parte dall'errore, non dalla fonte :)
Pasta gli errori che ti escono all'avvio del firewall



_______________________________________________________________________________________
Meglio una chitarra oggi che due corna domani ;-)
Avatar utente
Sawk
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: dom feb 06, 2005 0:00
Località: Pordenone, Italy

Re: iptables: fedora vs slackware.

Messaggioda DaNiMoTh » sab giu 18, 2005 9:10

Bakkio2 ha scritto:In primo luogho mi chiedo: Ma non è che iptables di fedora 2 core, lavori in maniera diversa rispetto all'iptables di slack 10.0?!?

Na, iptables e netfilter sono uguali per tutti ^_^

Secondo, io all'inizio del firewall di fedora mettevo che la default policy era drop, cioè per prima cosa chiudevo tutto, e poi mettevo le varie regole di cosa accettare. NON è che percaso slack, una volta che imposto le default policy a drop, si ferma li, e non legge le seguenti regole?

In tutti gli iptables funziona così:

se ci son 2 regole, ad esempio

- Permetti il traffico sulla 22
- Blocca tutto il traffico

Iptables ragiona in questo modo ( primo esempio: pacchetto TCP destinato alla 22 ):

- Guarda la prima regola; il pacchetto può transitare? Sì --> Lo fa passare e finisce il suo lavoro.

Pacchetto sulla 213:

- Guarda la prima regola: il pacchetto può passare? --> No, passa alla seconda regola

- La seconda regola blocca tutto, quindi il pacchetto viene scartato.

Spero di essere stato chiaro :P

Quindi, se come PRIMA regola metti che deve bloccare tutto, non farà passare niente di niente. Ci son 2 modi per risolvere:

1) Prima imposti le regole per far transitare i pacchetti, e per ultima imposti il DROP

2) Lasci una politica di accept, poi definisci quello che devi passare ed infine droppi tutto quello che non ti interessa!

ciao
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Messaggioda useless » sab giu 18, 2005 13:16

no, calma: un conto è mettere come prima regola un:
iptables -A INPUT -j DROP

un altro è impostare come default policy DROP:
iptables -P INPUT DROP

la default policy di una catena viene utilizzata x i pacchetti che non matchano nessuna regola nella catena, quindi impostarla prima o dopo non fa differenza.
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

Messaggioda gerardo_sl » dom giu 19, 2005 3:44

# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT


....???
gerardo_sl
Linux 1.0
Linux 1.0
 
Messaggi: 55
Iscritto il: mer mar 16, 2005 0:00

Messaggioda Bakkio2 » dom giu 19, 2005 12:40

Dove metti questo script? In /etc/rc.d? Sicuro che sia eseguibile?

esattamente questo script è: /etc/rc.d/rc.firewall, e dopo averlo scritto, ho esaguito chmod +x /etc/.......

postaci un iptables -L -v -n dopo che l'hai lanciato.

questo è il post di iptables -L -n -v :

Chain INPUT (policy DROP 124 packets, 8057 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- lo * 127.0.0.1 127.0.0.1
0 0 ACCEPT icmp -- * * 192.168.192.0/24 192.168.192.168
0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.10 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 multiport sports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 multiport sports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 151.168.0.1 192.168.0.10 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 151.168.0.1 192.168.0.10 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 151.168.100.1 192.168.0.10 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 151.168.100.1 192.168.0.10 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 192.168.192.168 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 192.168.192.168 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 192.168.192.168 tcp dpt:3128 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 192.168.192.168 udp dpt:3128 state NEW,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 192.168.192.0/24 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.192.0/24 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 0.0.0.0/0 multiport dports 80,443 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 0.0.0.0/0 multiport dports 80,443 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.192.0/24 multiport sports 80,443 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.192.0/24 multiport sports 80,443 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 68 packets, 4920 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * lo 127.0.0.1 127.0.0.1
0 0 ACCEPT icmp -- * * 192.168.192.168 192.168.192.0/24
0 0 ACCEPT icmp -- * * 192.168.0.10 0.0.0.0/0 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 multiport dports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 multiport dports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 151.168.0.1 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 151.168.0.1 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 151.168.100.1 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 151.168.100.1 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.168 192.168.192.0/24 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.168 192.168.192.0/24 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp dpt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp dpt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.168 192.168.192.0/24 tcp spt:3128 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.168 192.168.192.0/24 udp spt:3128 state RELATED,ESTABLISHED



Citazione:
# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

....???

serve per i ping della macchina dei vari programmi...

p.s. Grazie a tutti voi....

ps del ps E per i port scanner??? cosa devo fare?
Avatar utente
Bakkio2
Linux 2.4
Linux 2.4
 
Messaggi: 286
Iscritto il: gio mar 24, 2005 0:00
Località: Villesse (GO)
Nome Cognome: Carlo B.
Slackware: 13.37 64
Kernel: 2.6.33.4-smp
Desktop: kde-4.4.3

Messaggioda gerardo_sl » lun giu 20, 2005 2:22

Citazione:
# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

....???

Non era destinato a te, non ho intenzione di entrare nella discussione sul firewall: voleva solo essere una dritta per chi ti aveva risposto prima.

"stop" non é un comando di iptables, ma una user chain del firewall di Useless:
probabilmente hai letto qualche discussione che lo riguardava, o che riguardava
un firewall scritto su modello del suo.

Per i portscans puoi utilizzare un modulo aggiuntivo per iptables che trovi nei pacchetti
patch-o-matic-ng nei mirror di netfilter, il nodulo in questione si chiama "psd".
Oppure puoi utilizzare Snort:

http://www.snort.org/
gerardo_sl
Linux 1.0
Linux 1.0
 
Messaggi: 55
Iscritto il: mer mar 16, 2005 0:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron