Leggendo qui sul forum ho fatto delle modifiche al mio firewall le modifiche sono queste:
ho tolto lo script generato da guarddog in /etc/rc.firewall e in /etc/rc.d ho creato il file rc.firewall che ho reso eseguibile da propietà/permessi poi ho riavviato quello che mi chiedo è come posso sapere se iptables legge la mia configurazione oppure no?
Ho letto per sapere come è configurato iptables devo dare iptables -L questo è il risultato:
root@leon001:/home/supergnome# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost anywhere
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:domain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT udp -- anywhere anywhere udp dpt:4665
ACCEPT udp -- anywhere anywhere udp dpt:rfa
ACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:6882
ACCEPT tcp -- anywhere anywhere tcp dpt:6883
ACCEPT tcp -- anywhere anywhere tcp dpt:6884
ACCEPT tcp -- anywhere anywhere tcp dpt:6885
ACCEPT tcp -- anywhere anywhere tcp dpt:6886
ACCEPT tcp -- anywhere anywhere tcp dpt:6887
ACCEPT tcp -- anywhere anywhere tcp dpt:6888
ACCEPT tcp -- anywhere anywhere tcp dpt:6889
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Nel post nel quale si parlava di iptables -L c' era anche una spiegazione ma non ci ho capito niente se qualche anima buona in vena di samaritanismo mi potesse aiutare mi salverebbe dalla pazzia. Ciao.
firewall nuova configurazione
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
tutto ciò è inutile, usa un range di porte del tipoACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:6882
ACCEPT tcp -- anywhere anywhere tcp dpt:6883
ACCEPT tcp -- anywhere anywhere tcp dpt:6884
ACCEPT tcp -- anywhere anywhere tcp dpt:6885
ACCEPT tcp -- anywhere anywhere tcp dpt:6886
ACCEPT tcp -- anywhere anywhere tcp dpt:6887
ACCEPT tcp -- anywhere anywhere tcp dpt:6888
ACCEPT tcp -- anywhere anywhere tcp dpt:6889
Codice: Seleziona tutto
iptables -A INPUT -p tcp --doprt 6881:6889 -j ACCEPT
ti consiglio di creare due nuove politiche per evitare lo scanning, droppare i broadcast, abilitare gli ISP e settare le politiche di pacchetti Fin Xmas Syn+fin ecc
Codice: Seleziona tutto
iptables -N CHAIN-SCAN
iptables -N SYN-FLOOD
iptables -A INPUT -p tcp --syn -j SYN-FLOOD
iptables -t filter -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j CHAIN-SCAN
iptables -A INPUT -p ALL -d 255.255.255.255 -j DROP
iptables -A INPUT -s 10.128.0.0/255.255.0.0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j CHAIN-SCAN
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK -j CHAIN-SCAN
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j CHAIN-SCAN
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j CHAIN-SCAN
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j CHAIN-SCAN
iptables -A INPUT -p tcp --tcp-flags FIN FIN -j CHAIN-SCAN
ciauu
Diciamo innanzitutto che scanning droppare broadcast per me sono arabo poi devo aver capito comunque che le ricghe di codice che mi hai scritto sotto sono propio per fare queste cose giusto? Se così non fosse non ho idea di come si possano fare tutte quelle cosine che tu mi dici e quindi..... lo script di cui parli si fa creando un file di testo eseguibile da mettere in /etc/rc.d/rc.firewall come ho letto qui sul forum o no? Grazie.OhiOhiOhi ha scritto:
poi da una tabella di iptables si riescono a ricavare solo le impostazioni di droppaggio/abilitazione pacchetti e non le politiche di ipv4 o ipv6
ti consiglio di creare due nuove politiche per evitare lo scanning, droppare i broadcast, abilitare gli ISP e settare le politiche di pacchetti Fin Xmas Syn+fin ecc
fatti uno script, queste sono solo per aventuali controlli ma funzionano molto beneCodice: Seleziona tutto
iptables -N CHAIN-SCAN iptables -N SYN-FLOOD iptables -A INPUT -p tcp --syn -j SYN-FLOOD iptables -t filter -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j CHAIN-SCAN iptables -A INPUT -p ALL -d 255.255.255.255 -j DROP iptables -A INPUT -s 10.128.0.0/255.255.0.0 -j DROP iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j CHAIN-SCAN iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK -j CHAIN-SCAN iptables -A INPUT -p tcp --tcp-flags ALL NONE -j CHAIN-SCAN iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j CHAIN-SCAN iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j CHAIN-SCAN iptables -A INPUT -p tcp --tcp-flags FIN FIN -j CHAIN-SCAN
ciauu