Pagina 1 di 1

iptables: fedora vs slackware.

Inviato: gio giu 16, 2005 20:29
da Bakkio2
Ciao a tutti:
Leggendo l'oggetto del mio topic, so già che molti di voi hanno pensato male di me, ma proprio non sapevo come introdurvi il mio dilemma.
Fino a pochi giorni fa, ho configurato solo iptables su fedora, e la mia configurazione funzionava proprio come volevo io. Ma adesso che lavoro con slack, le mie configurazioni non funzionano.
Spiego subito che ho una lan, con un router centrale, e uno dei miei pc sto cercando di renderlo server.
In questo pc ho installato tutto a dovere (Squid, Samba, Proftpd, named, nfs).
Ma quando attivo il firewall, il "server" si chiude e non accetta e non spedisce niente.
Girando sul forum però, ho notato delle sostanziali differenze rispetto al mio vecchio firewall fedora, e mi sono venuti dei dubbi...
In primo luogho mi chiedo: Ma non è che iptables di fedora 2 core, lavori in maniera diversa rispetto all'iptables di slack 10.0?!?
Secondo, io all'inizio del firewall di fedora mettevo che la default policy era drop, cioè per prima cosa chiudevo tutto, e poi mettevo le varie regole di cosa accettare. NON è che percaso slack, una volta che imposto le default policy a drop, si ferma li, e non legge le seguenti regole?
Terzo: noto che molti di voi quando vogliono bloccare qualcosa, mettono -j stop, mentre io metto -j drop. Che differenza c'è tra i due metodi?

Se poi volete vi posto il mio file di configurazione di iptables, per ora è già toppo lungo il mio messaggio, e preferisco non aggiungere troppe robe...

Grazie a chi mi vorrà aiutare.

P.s. Mi chiedevo anche un'ultima cosa....
Noto che molto spesso chi fa degli attacchi hacker, riesce a nascondersi dai vari port scanner e ping, ma sono in realtà attivi. Io riesco a mascherarmi dai ping, ma dai port scanner come si fa?
grazie a tutti e.... FORZA SLACKY

Inviato: gio giu 16, 2005 20:38
da Sawk
emmm...iptables è uno solo non cambia da distros :D
Probabile che la slackware utilizzi delle opzioni in /proc di default che magari possono risultare diverse rispetto a Fedora, ma questo non lo so. Prova a sbirciare tra le opzioni del kernel e i moduli per iptables, probabilmente sono quelli (ovviamente parlo per presupposto)

Ciao OhiOhiOhi ora OhiAhiOhi

____________________________________________________________________________________
Meglio una chitarra oggi che due cornazze domani ;-)

Inviato: gio giu 16, 2005 22:08
da useless
uhrm, fedora, se non ricordo male, usa un file la configurazione del firewall tipo:

Codice: Seleziona tutto

:INPUT DROP
:OUTPUT ACCEPT
:FORWARD DROP

ecc...


questo è parsato e trasformato in comandi iptables da uno script di fedora. se questo è il caso, dovrai fare qualche modifica o scrivere un piccolo script che faccia altrettanto.

ok, ora vi mando la configurazione

Inviato: gio giu 16, 2005 22:58
da Bakkio2
Scusate la lunghezza.... comunque questa è la mia configurazione, ma appena la avvio, il pc non fa assolutamente niente....

#!/bin/sh

#########################################################
# #
# /etc/iptables.conf per 192.168.0.10 B2S #
# #
#########################################################


#########################
# #
# INIZIO #
# #
#########################


#########################################
# #
# Impostazione di alcune variabili #
# #
#########################################

## Percorso dell'eseguibile
#
IPTABLES="/usr/sbin/iptables"

## Percorso degli eseguibili per la gestione dei moduli
#
DEPMOD="/sbin/depmod"
MODPROBE="/sbin/modprobe"

## Indirizzi IP
# Interno (LAN)
LAN_IP="192.168.192.168"
# Esterno (verso Internet)
EXT_IP="192.168.0.10"
# Indirizzo della classe della LAN
LAN_CLASS="192.168.192.0/24"
# Indirizzo dei DNS
DNS1_IP="192.168.0.10" # dns interno alla macchina Named
DNS1_IP="151.168.0.1" # dns interno alla lan B-FOCUS 342+
DNS2_IP="151.168.100.1" # dns.aliceadsl.it

echo
echo " Caricamento delle regole del firewall in corso ..."


#########################################
# #
# Check: e' abilitato il forward? #
# #
#########################################

echo
echo " Sto controllando se sia abilitato il forward dei pacchetti."
#
if [ `cat /proc/sys/net/ipv4/ip_forward` -ne 1 ] ; then
echo
echo " Sto abilitando il forward dei pacchetti attraverso questo firewall (proxy1)."
echo 1 > /proc/sys/net/ipv4/ip_forward # se non e' attivo lo attivo qui
if [ $? -ne 0 ] ; then
echo " Si e' verificato un errore nell'attivazione del forward dei pacchetti."
echo " Questo script sara' interrotto ora."
exit 1
fi
fi
#
echo
echo " Fatto."


#########################################
# #
# Si vuotano le catene delle regole #
# #
#########################################

echo
echo " Sto cancellando le regole da tutte le tabelle."
#
echo
echo -n " ."
$IPTABLES -F
echo -n " ."
$IPTABLES -t nat -F
echo " ."
$IPTABLES -t mangle -F
#
echo
echo " Fatto."


#########################################
# #
# Si definiscono le policy di default #
# #
#########################################

# Blocco tutto cosi' sono sicuro poi di quel che lascio passare!
#
echo
echo " Stabilisco la policy di default per le catene principali."
$IPTABLES -P INPUT DROP
echo " INPUT: DROP"
$IPTABLES -P FORWARD DROP
echo " FORWARD: DROP"
$IPTABLES -P OUTPUT DROP
echo " OUTPUT: DROP"
#
echo
echo " Fatto."


#########################################
# #
# Carico alcuni moduli #
# #
#########################################

# stateful connection tracking framework
$MODPROBE ip_conntrack

# connection tracking per l'FTP
$MODPROBE ip_conntrack_ftp

# FTP NAT functionality
#$MODPROBE ip_nat_ftp


#########################################
# #
# Definisco le regole... #
# #
#########################################

echo
echo " Ora carico le regole per l'accesso a/attraverso questo firewall (proxy1)."


#########################
# #
# INPUT e OUTPUT #
# #
#########################

echo
echo " Il PING e' permesso DA/PER questo firewall solo se proveniente da ${LAN_CLASS},"
echo " se originato dall'esterno (Internet) sara' bloccato."
#
## PING (icmp)
# Permetto il ping solo se dalla rete interna al server o verso l'esterno, se proviene
# dall'esterno accetto solo le risposte a cio' che parte dal firewall o dalla rete interna
#
# DA/PER Localhost
$IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
# DA/PER la LAN
$IPTABLES -A INPUT -p icmp -d $LAN_IP -s $LAN_CLASS -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -d $LAN_CLASS -s $LAN_IP -j ACCEPT
# DA/PER Internet
$IPTABLES -A INPUT -p icmp -d $EXT_IP -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -s $EXT_IP -m state --state NEW,ESTABLISHED -j ACCEPT


echo
echo " L'accesso alle risorse HTTP ed HTTPS e' consentito solo DA questo firewall"
echo " verso l'esterno; i client della rete $LAN_CLASS DOVRANNO utilizzare il"
echo " proxy server."
#
## HTTP/HTTPS
# Permetto le connessioni HTTP/HTTPS solo se partono DA locale verso le porte
# 80/443 o se tornano indietro in caso di connessione già stabilita!
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -m multiport --dports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -m multiport --dports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -m multiport --sports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -m multiport --sports 80,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


echo
echo " L'accesso ai DNS esterni e' permesso solo al firewall, per i client dovra' provvedere"
echo " il proxy server."
#
## DNS
# 1
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -d $DNS1_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -d $DNS1_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -s $DNS1_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -s $DNS1_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
# 2
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP -d $DNS2_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP -d $DNS2_IP --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP -s $DNS2_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP -s $DNS2_IP --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Accetto le richieste sul mio DNS
$IPTABLES -A INPUT -p tcp -d $LAN_IP -s $LAN_CLASS --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $LAN_IP -s $LAN_CLASS --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $LAN_IP -d $LAN_CLASS --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $LAN_IP -d $LAN_CLASS --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo
echo " L'accesso ai siti FTP e' attivo SOLO per il firewall, il FORWARD e' bloccato"
#
## FTP
# Attivo (da questa macchina e ritorno)
# Comandi (il client FTP -questa macchina- instaura una NUOVA connessione verso la porta 21
# del server: si accettano in uscita le connessioni, in entrata solo le risposte a
# connessioni gia' instaurate)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# Dati (e' il server FTP ad iniziare una NUOVA connessione verso il client -questa macchina-,
# pero' si puo' sfruttare lo stato "RELATED" di questa nuova connessione per decidere
# cosa vada accettato e cosa no)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Passivo
# Comandi: gia' abilitati sopra, con la modalita' "attiva"
# Dati: e' necessario abilitare in uscita tutte le connessioni di tipo "RELATED" o "ESTABLISHED"
# che partono dalle porte alte (>1023)
$IPTABLES -A OUTPUT -p tcp -s $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $EXT_IP --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT


echo
echo " Apro la porta su cui Squid e' in ascolto"
#
## SQUID
# Permetto di entrare sulla porta 3128 (su cui Squid ascolta) dalla LAN
SQUID_PORT="3128"
#
$IPTABLES -A INPUT -p tcp -d $LAN_IP -s $LAN_CLASS --dport $SQUID_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p udp -d $LAN_IP -s $LAN_CLASS --dport $SQUID_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
# Permetto alle risposte di Squid di tornare verso la LAN
$IPTABLES -A OUTPUT -p tcp -s $LAN_IP -d $LAN_CLASS --sport $SQUID_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $LAN_IP -d $LAN_CLASS --sport $SQUID_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT


#########################
# #
# NAT #
# #
#########################

## Faccio il NAT di tutto quello che esce dalla macchina e che provviene dalla LAN
#
echo
echo " Abilito il NAT per tutti i pacchetti che partono dalla LAN e vanno verso"
echo " Internet (quelli cioe' che NON sono generati in locale)."
echo " Maschero gli indirizzi dei client della rete con l'indirizzo del firewall"
echo " per permettere ai pacchetti di risposta di raggiungere la destinazione."
#
$IPTABLES -t nat -A POSTROUTING -p ALL -s $LAN_CLASS -j SNAT --to-source $EXT_IP


#########################
# #
# FORWARD #
# #
#########################

## PING (dalla LAN verso l'esterno e risposte...)
#
echo
echo " Permetto al PING di attraversare il firewall dalla LAN verso Internet ed"
echo " alle relative risposte di raggiungere il destinatario."
#
$IPTABLES -A FORWARD -p icmp -s $LAN_CLASS -j ACCEPT
$IPTABLES -A FORWARD -p ICMP -d $LAN_CLASS -m state --state RELATED,ESTABLISHED -j ACCEPT

# forward per http/https
$IPTABLES -A FORWARD -p tcp -s $LAN_CLASS -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN_CLASS -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $LAN_CLASS -m multiport --sports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN_CLASS -m multiport --sports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPT





#########################
# #
# FINE #
# #
#########################

Inviato: ven giu 17, 2005 8:11
da touchstyle
Dove metti questo script? In /etc/rc.d? Sicuro che sia eseguibile?

Inviato: ven giu 17, 2005 8:35
da useless
postaci un iptables -L -v -n dopo che l'hai lanciato.

Inviato: ven giu 17, 2005 12:05
da Sawk
di solito per conoscere il problema si parte dall'errore, non dalla fonte :)
Pasta gli errori che ti escono all'avvio del firewall



_______________________________________________________________________________________
Meglio una chitarra oggi che due corna domani ;-)

Re: iptables: fedora vs slackware.

Inviato: sab giu 18, 2005 10:10
da DaNiMoTh
Bakkio2 ha scritto:In primo luogho mi chiedo: Ma non è che iptables di fedora 2 core, lavori in maniera diversa rispetto all'iptables di slack 10.0?!?

Na, iptables e netfilter sono uguali per tutti ^_^

Secondo, io all'inizio del firewall di fedora mettevo che la default policy era drop, cioè per prima cosa chiudevo tutto, e poi mettevo le varie regole di cosa accettare. NON è che percaso slack, una volta che imposto le default policy a drop, si ferma li, e non legge le seguenti regole?

In tutti gli iptables funziona così:

se ci son 2 regole, ad esempio

- Permetti il traffico sulla 22
- Blocca tutto il traffico

Iptables ragiona in questo modo ( primo esempio: pacchetto TCP destinato alla 22 ):

- Guarda la prima regola; il pacchetto può transitare? Sì --> Lo fa passare e finisce il suo lavoro.

Pacchetto sulla 213:

- Guarda la prima regola: il pacchetto può passare? --> No, passa alla seconda regola

- La seconda regola blocca tutto, quindi il pacchetto viene scartato.

Spero di essere stato chiaro :P

Quindi, se come PRIMA regola metti che deve bloccare tutto, non farà passare niente di niente. Ci son 2 modi per risolvere:

1) Prima imposti le regole per far transitare i pacchetti, e per ultima imposti il DROP

2) Lasci una politica di accept, poi definisci quello che devi passare ed infine droppi tutto quello che non ti interessa!

ciao

Inviato: sab giu 18, 2005 14:16
da useless
no, calma: un conto è mettere come prima regola un:
iptables -A INPUT -j DROP

un altro è impostare come default policy DROP:
iptables -P INPUT DROP

la default policy di una catena viene utilizzata x i pacchetti che non matchano nessuna regola nella catena, quindi impostarla prima o dopo non fa differenza.

Inviato: dom giu 19, 2005 4:44
da gerardo_sl
# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT


....???

Inviato: dom giu 19, 2005 13:40
da Bakkio2
Dove metti questo script? In /etc/rc.d? Sicuro che sia eseguibile?

esattamente questo script è: /etc/rc.d/rc.firewall, e dopo averlo scritto, ho esaguito chmod +x /etc/.......

postaci un iptables -L -v -n dopo che l'hai lanciato.

questo è il post di iptables -L -n -v :

Chain INPUT (policy DROP 124 packets, 8057 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- lo * 127.0.0.1 127.0.0.1
0 0 ACCEPT icmp -- * * 192.168.192.0/24 192.168.192.168
0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.10 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 multiport sports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 multiport sports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 151.168.0.1 192.168.0.10 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 151.168.0.1 192.168.0.10 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 151.168.100.1 192.168.0.10 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 151.168.100.1 192.168.0.10 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 192.168.192.168 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 192.168.192.168 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.10 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.0.10 udp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 192.168.192.168 tcp dpt:3128 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 192.168.192.168 udp dpt:3128 state NEW,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 192.168.192.0/24 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.192.0/24 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.0/24 0.0.0.0/0 multiport dports 80,443 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.0/24 0.0.0.0/0 multiport dports 80,443 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.192.0/24 multiport sports 80,443 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.192.0/24 multiport sports 80,443 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 68 packets, 4920 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * lo 127.0.0.1 127.0.0.1
0 0 ACCEPT icmp -- * * 192.168.192.168 192.168.192.0/24
0 0 ACCEPT icmp -- * * 192.168.0.10 0.0.0.0/0 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 multiport dports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 multiport dports 80,443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 151.168.0.1 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 151.168.0.1 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 151.168.100.1 tcp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 151.168.100.1 udp dpt:53 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.168 192.168.192.0/24 tcp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.168 192.168.192.0/24 udp spt:53 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp dpt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp dpt:20 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.0.10 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.0.10 0.0.0.0/0 udp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.192.168 192.168.192.0/24 tcp spt:3128 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 192.168.192.168 192.168.192.0/24 udp spt:3128 state RELATED,ESTABLISHED



Citazione:
# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

....???

serve per i ping della macchina dei vari programmi...

p.s. Grazie a tutti voi....

ps del ps E per i port scanner??? cosa devo fare?

Inviato: lun giu 20, 2005 3:22
da gerardo_sl
Citazione:
# $IPTABLES -A INPUT -p icmp -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT

....???

Non era destinato a te, non ho intenzione di entrare nella discussione sul firewall: voleva solo essere una dritta per chi ti aveva risposto prima.

"stop" non é un comando di iptables, ma una user chain del firewall di Useless:
probabilmente hai letto qualche discussione che lo riguardava, o che riguardava
un firewall scritto su modello del suo.

Per i portscans puoi utilizzare un modulo aggiuntivo per iptables che trovi nei pacchetti
patch-o-matic-ng nei mirror di netfilter, il nodulo in questione si chiama "psd".
Oppure puoi utilizzare Snort:

http://www.snort.org/