Repository 32bit  Forum
Repository 64bit  Wiki

Semplice firewall che non mi permette la navigazione........

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Semplice firewall che non mi permette la navigazione........

Messaggioda ChriD » mer nov 30, 2005 13:51

Ci manca poco, ma è quel poco che non mi permette di utilizzae la connessione

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Re: Semplice firewall che non mi permette la navigazione....

Messaggioda ChriD » mer nov 30, 2005 13:52

ChriD ha scritto:Ci manca poco, ma è quel poco che non mi permette di utilizzare la connessione

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT





Lo script l'ho fatto ovviamente con la guida netlink consigliatami da qualcuno sul forum....
c'è qualcosa da implementare per la condivisione con ssh ma poi lo farò..

Una domanda...: ma 127.0.0.1 è il loopback ma di che si tratta precisamente?? a che serve????
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Messaggioda masalapianta » mer nov 30, 2005 14:42

per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda ChriD » mer nov 30, 2005 16:56

masalapianta ha scritto:per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.


avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....

comunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....

se poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente.... :?:

Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Messaggioda Firetux » mer nov 30, 2005 17:24

Avatar utente
Firetux
Linux 3.x
Linux 3.x
 
Messaggi: 1465
Iscritto il: mer giu 09, 2004 23:00
Località: Lecco

Messaggioda ChriD » mer nov 30, 2005 17:36



già letta!!!

lì si parla di configurazioni con iptables con la creazione di 6 nuove catene di filtering!

Non mi sembra sia un qualcosa che poi debba essere destinato ad uso casalingo...... :roll:
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Messaggioda masalapianta » mer nov 30, 2005 17:47

ChriD ha scritto:avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....

non ti serve una guida, ti serve un buon testo universitario sul tcp/ip (ti ho gia consigliato lo Stevens)
comunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....

grossolani errori concettuali tipo droppare tutti gli icmp o tutti meno che gli echo request provenienti dalla tua sottorete e gli echo reply in risposta; errori che dimostrano che non si ha la benche' minima idea di cosa siano gli icmp e a cosa servano
se poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente.... :?:

non capisci perche' non conosci il tcp/ip e vuoi metter su un firewall usando delle "guide"; e' un po come non sapere una mazza di chirurgia e voler fare un trapianto di fegato dopo aver visto un servizio su questi interventi a superquark
Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!


ripeto:

per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda masalapianta » mer nov 30, 2005 17:49

ChriD ha scritto:Non mi sembra sia un qualcosa che poi debba essere destinato ad uso casalingo...... :roll:


aridaje, un utente casalingo *non* ha bisogno di un firewall
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda ChriD » mer nov 30, 2005 17:56

Mi arrendo.....

come si chiama questo stevens???

comunque adesso riesco a anvigare con questo firewall....:

#!/bin/bash
#
# Firewall con politica di blocco catene INPUT, FORWARD e OUTPUT
#


IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo

# Stampa a video dei comandi impartiti
set -x

# Pulitura delle impostazioni delle catene
$IPT -t filter -F
$IPT -t filter -X
$IPT -t filter -Z

# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -t filter -P OUTPUT DROP

# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncookies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_ecn
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Abilito il traffico su localhost
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A OUTPUT -o lo -j ACCEPT

# Abilito il traffico in e da un server DNS
$IPT -t filter -A INPUT -p TCP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPT -t filter -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p UDP -s 0/0 --dport 53 -j ACCEPT

# Abilito il traffico su lan
$IPT -t filter -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -t filter -A OUTPUT -p icmp -s $LAN -j ACCEPT

# Abilito la navigazione internet
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 443 -j ACCEPT

# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -t filter -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -t filter -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --sport 113 -j ACCEPT
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Messaggioda masalapianta » mer nov 30, 2005 20:09

ChriD ha scritto:come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda Luci0 » gio dic 01, 2005 11:42

Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..

prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/

....... comunque studiare non fa male :) basta aver tempo... :(
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda ChriD » gio dic 01, 2005 12:37

Luci0 ha scritto:Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..

prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/

....... comunque studiare non fa male :) basta aver tempo... :(


Eh... parole sante.... il rpoblema è il tempo!

comunque la settimana prox. mi procuro questo stevens e poi vediamo.......

firewall preconfezionati non ne vorrei utilizzare.....
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Messaggioda Luci0 » gio dic 01, 2005 13:23

... ripeto prova gshield metti sul firewall .... e poi con calma studi... :) :)
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda Trotto@81 » sab dic 24, 2005 16:38

masalapianta ha scritto:
ChriD ha scritto:come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon


Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!
Avatar utente
Trotto@81
Iper Master
Iper Master
 
Messaggi: 3043
Iscritto il: ven giu 25, 2004 23:00
Località: Monasterace M. (RC)
Nome Cognome: Andrea
Slackware: Slackware64 14.1
Kernel: default
Desktop: KDE 4.10.5

Messaggioda ChriD » lun dic 26, 2005 12:52

Trotto@81 ha scritto:
masalapianta ha scritto:
ChriD ha scritto:come si chiama questo stevens???

tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazon


Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!


Grazie del consiglio....

Questa mi sembra una cosa più fattibile!
Lo seguirò senz'altro ;)
ChriD
Linux 2.4
Linux 2.4
 
Messaggi: 329
Iscritto il: dom ott 30, 2005 16:43

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite