Semplice firewall che non mi permette la navigazione........

[ChriD]

Ci manca poco, ma è quel poco che non mi permette di utilizzae la connessione

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT

[ChriD]

Ci manca poco, ma è quel poco che non mi permette di utilizzare la connessione

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT

Lo script l'ho fatto ovviamente con la guida netlink consigliatami da qualcuno sul forum....
c'è qualcosa da implementare per la condivisione con ssh ma poi lo farò..

Una domanda...: ma 127.0.0.1 è il loopback ma di che si tratta precisamente?? a che serve????

[masalapianta]

per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.

[ChriD]

per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.

avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....

comunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....

se poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente....

Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!

[Firetux]

http://www.commedia.it/ccontavalli/docs-it/iptables/iptables4dummies/

[ChriD]

http://www.commedia.it/ccontavalli/docs-it/iptables/iptables4dummies/

già letta!!!

lì si parla di configurazioni con iptables con la creazione di 6 nuove catene di filtering!

Non mi sembra sia un qualcosa che poi debba essere destinato ad uso casalingo......

[masalapianta]

avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....

non ti serve una guida, ti serve un buon testo universitario sul tcp/ip (ti ho gia consigliato lo Stevens)

comunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....

grossolani errori concettuali tipo droppare tutti gli icmp o tutti meno che gli echo request provenienti dalla tua sottorete e gli echo reply in risposta; errori che dimostrano che non si ha la benche' minima idea di cosa siano gli icmp e a cosa servano

se poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente....

non capisci perche' non conosci il tcp/ip e vuoi metter su un firewall usando delle "guide"; e' un po come non sapere una mazza di chirurgia e voler fare un trapianto di fegato dopo aver visto un servizio su questi interventi a superquark

Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!

ripeto:

per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.

[masalapianta]

Non mi sembra sia un qualcosa che poi debba essere destinato ad uso casalingo......

aridaje, un utente casalingo *non* ha bisogno di un firewall

[ChriD]

Mi arrendo.....

come si chiama questo stevens???

comunque adesso riesco a anvigare con questo firewall....:

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT, FORWARD e OUTPUT
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -t filter -F
$IPT -t filter -X
$IPT -t filter -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -t filter -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncookies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_ecn
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Abilito il traffico su localhost
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A OUTPUT -o lo -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -t filter -A INPUT -p TCP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPT -t filter -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p UDP -s 0/0 --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -t filter -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -t filter -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -t filter -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -t filter -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --sport 113 -j ACCEPT

[masalapianta]

come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon

[Luci0]

Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..

prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/

....... comunque studiare non fa male basta aver tempo...

[ChriD]

Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..

prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/

....... comunque studiare non fa male basta aver tempo...

Eh... parole sante.... il rpoblema è il tempo!

comunque la settimana prox. mi procuro questo stevens e poi vediamo.......

firewall preconfezionati non ne vorrei utilizzare.....

[Luci0]

... ripeto prova gshield metti sul firewall .... e poi con calma studi...

[Trotto@81]

come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon

Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!

[ChriD]

come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon

Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!

Grazie del consiglio....

Questa mi sembra una cosa più fattibile!
Lo seguirò senz'altro