Repository 32bit  Forum
Repository 64bit  Wiki

Firewall di Linux Pratico

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Firewall di Linux Pratico

Messaggioda Trotto@81 » sab nov 12, 2005 16:05

Su linux pratico in un articolo ho trovato queste regole base per un firewall uso casalingo. Ottimo articolo per iniziare da zero per uno come me, e bene o male ci sto già capendo qualcosa!! Come lo trovate?? Vorrei vostri consigli. Anche se a me per default mi piace impostare le policy della chain a DROP e poi aprire le porte strettamente necessarie!!

Codice: Seleziona tutto
#!/bin/bash
IPTABLES="/usr/sbin/iptables"

#Svuoto la tabella delle regole già esistenti
$IPTABLES -F

#Inserimento nella regola INPUT lo --state INVALID per connessioni non esistenti e NEW per tentativi di connessioni dall'esterno.
$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP

#Questa regola permette a computer esterni di effettuare solo operazioni di ping verso la Linux Box.
#$IPTABLES -I INPUT -p icmp -i ppp0 -s 0/0 --icmp-type echo-request -j ACCEPT

#Inserimento nella regola INPUT degli --state INVALID e NEW ma per i pacchetti icmp.
$IPTABLES -I INPUT -p icmp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa regola blocca tutto il traffico udp non richiesto diretto verso la Linux Box.
$IPTABLES -I INPUT -p udp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte tcp assegnate.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa regola blocca qualsiasi traffico verso qualsiasi destinazione.
$IPTABLES -A OUTPUT -s 0/0 -j DROP
Avatar utente
Trotto@81
Iper Master
Iper Master
 
Messaggi: 3020
Iscritto il: ven giu 25, 2004 23:00
Località: Monasterace M. (RC)
Nome Cognome: Andrea
Slackware: Slackware64 14.1
Kernel: default
Desktop: KDE 4.10.5

Messaggioda Sawk » sab nov 12, 2005 17:34

ci sono almeno 20 post nell'ultimo tempo che parlano di firewalling......se cerchi nel forum se ne trovano una marea
Avatar utente
Sawk
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: dom feb 06, 2005 0:00
Località: Pordenone, Italy

Re: Firewall di Linux Pratico

Messaggioda Bart » sab nov 12, 2005 19:05

Trotto@81 ha scritto:#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.
Bart
Staff
Staff
 
Messaggi: 4248
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Re: Firewall di Linux Pratico

Messaggioda Trotto@81 » dom nov 13, 2005 0:42

Bart ha scritto:
Trotto@81 ha scritto:#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.


Per il resto può andare??
Avatar utente
Trotto@81
Iper Master
Iper Master
 
Messaggi: 3020
Iscritto il: ven giu 25, 2004 23:00
Località: Monasterace M. (RC)
Nome Cognome: Andrea
Slackware: Slackware64 14.1
Kernel: default
Desktop: KDE 4.10.5

Messaggioda sreview » lun nov 14, 2005 22:50

trotto ma non potevi postare in sicurezza?
sreview
Linux 2.0
Linux 2.0
 
Messaggi: 159
Iscritto il: mar lug 26, 2005 23:00
Località: Latina
Nome Cognome: Fabrizio Di Carlo
Slackware: 13.0
Kernel: 2.6.29.6
Desktop: Xfce 4.6.1

Messaggioda Paoletta » mar nov 15, 2005 13:16

sreview ha scritto:trotto ma non potevi postare in sicurezza?

ho provveduto...
comunque maca la gestione delle policy di default; le mie sono queste:
Codice: Seleziona tutto
iptables -P FORWARD DROP
iptables -P INPUT DROP

OUTPUT la lascio tranquillamente su ACCEPT... se usi queste due regole poi è inutile che chiudi di nuovo così:
Codice: Seleziona tutto
$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP

devi solo specificare quali porte lasciare aperte;
ciao!
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3900
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda MDS » mer nov 16, 2005 11:09

Ho letto quell'articolo e trovo la configurazione un po' prolissa.
Va bene a scopi didattici.... però la sacra regola di Rusty Russel....
"Established Related".

Guarda qui come l'howto ufficiale se la cava e ottiene gli stessi risultati di Linux Pratico.
http://www.netfilter.org/documentation/ ... WTO-5.html

Stimo molto le riviste della Piscopo "Linux & C., Linux Pratico, Hackers & C.".
Anche su Hackers e C. veniva data la soluzione di Rusty Russel.

Insomma, non mi piace molto la soluzione proposta da Linux Pratico.

Ciao :wink:
MDS
Linux 2.0
Linux 2.0
 
Messaggi: 178
Iscritto il: mer mag 19, 2004 23:00

Messaggioda Outspan » mer dic 28, 2005 20:32

Firewalls... ma ce n'è davvero bisogno? =)
Outspan
Linux 1.0
Linux 1.0
 
Messaggi: 14
Iscritto il: mer dic 28, 2005 12:31

Messaggioda Outspan » mer dic 28, 2005 20:33

Firewalls... ma ce n'è davvero bisogno? =)
Outspan
Linux 1.0
Linux 1.0
 
Messaggi: 14
Iscritto il: mer dic 28, 2005 12:31


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti