Interfaccia per configurare firewall o IpTables a mano?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
sberla54
Master
Master
Messaggi: 1500
Iscritto il: gio 24 giu 2004, 0:00
Slackware: 13.0
Desktop: Gnome (o Fluxbox)
Distribuzione: Ubuntu
Località: Bologna
Contatta:

Interfaccia per configurare firewall o IpTables a mano?

Messaggio da sberla54 »

Ciao a tutti!

Vorrei riconfigurare il mio personal firewall su Slackware 12.2, senza perderci una vita, ma in maniera abbastanza precisa da sentirmi al sicuro, e non so se rivolgermi ad un qualche front-end grafico o imparare a configurare IpTables a mano.

Fino ad oggi, seguendo la Slackware4Dummies, ho sempre utilizzato l'interfaccia GuardDog, che pero' non mi e' mai piaciuta piu' di tanto: non e' molto chiaro il suo funzionamento, e' identico a se stesso da anni ed anni e poi non offre molte features avanzate, nel caso in cui le volessi usare.

L'unica altra alternativa che mi e' venuta in mente e' FireStarter, che pero' non ho mai usato. Com'e'? Ne vale la pena?
E' sempre una semplice gui di configurazione di Iptables, come GuardDog, o e' un simil personal firewall alla Windows, che si esegue all'avvio e rimane li in esecuzione?
Perche' io vorrei una gui di iptables....

Ho chiesto questa stessa cosa su IRC, nel chan di Slacky ed in altri chan su slackware e mi hanno tutti detto che configurano IpTables a mano, senza metterci neanche piu' di tanto; a me piacerebbe imparare a manipolare Iptables da livello piu' basso e preciso possibile, pero' fino ad oggi non mi ci sono mai messo e non e' proprio un periodo in cui ho molto tempo libero.
E' lungo da imparare?
Avete qualche buona guida da consigliarmi?
Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?

Io fondamentalmente vorrei mantenere la tipologia di firewall che usavo con GuardDog, ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....permettere MSN, bloccare Telnet, permettere eMule ecc ecc
Non ho bisogno di particolari settaggi avanzati, anche se vorrei uno strumento che mi permettesse di utilizzarli, nel caso...

Inoltre, una volta configurato il firewall, vorrei qualche dritta per controllarne la solidita'...il numero delle porte aperte, i servizi che risultano ancora accessibili dall'esterno eccetera....mi potreste dare una mano?

Grazie in anticipo...come sempre!

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da NetNightmare »

Potresti cominciare da qui :

http://netfilter.org/documentation/HOWT ... HOWTO.html

oppure qui dovrebbe esserci in italiano :

http://www.netfilter.org/documentation/ ... tion-howto

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da navajo »

Domandare qui, se vale la pena imparare e usare uno script iptables è come chiedere all' oste se il vino è buono :D :D :D
A parte gli scherzi, creare un firewall ad hoc, per un desktop non è difficilissimo, e non servono molte regole. Sul forum ci sono molti thread al riguardo, compresi esempi. Per la guida, io ho iniziato con le guide di openskil: http://openskill.info/browse.php
Naturalmente sul sito di netfilter cè dell' ottimo materiale :
http://www.netfilter.org/documentation/index.html#HOWTO

Senza contare poi la soddisfazione di fare da se il propio firewall :D

EDIT: mi hanno preceduto

Avatar utente
danix
Staff
Staff
Messaggi: 3287
Iscritto il: ven 27 ott 2006, 19:32
Nome Cognome: Danilo M.
Slackware: 64 current
Kernel: 5.4.43 x86_64
Desktop: i3
Località: Siderno (RC)
Contatta:

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da danix »

Io l'ho configurato da qualche giorno, mi hanno aiutato sia su #slackware che su #sardylan, all'inizio pensavo anche io che fosse chissà quanto difficile, ma poi ho capito che in realtà non si tratta di nulla di complicato o trascendentale... basta stare attenti a ciò che si scrive... ;)

Ti posto il mio firewall (lo uso sul server che mi fa da gateway e che offre alcuni servizi all'esterno), è molto basilare e anche commentato, quindi non dovrebbe essere difficile da capire, magari prendilo come spunto, segui una delle guide che ti hanno consigliato e cerca di capire il mio FW cosa fa, vedrai che il resto viene da se...

Codice: Seleziona tutto

$ cat /etc/rc.d/rc.firewall
#!/bin/bash

SW_VERB="-v"

# blocco il forwarding dei pacchetti
sh /etc/rc.d/rc.ip_forward stop

# cancello tutte le regole precedenti (nel caso ci fossero)
# e tutte le catene di regole "user defined"
/usr/sbin/iptables -F $SW_VERB
/usr/sbin/iptables -t nat -F $SW_VERB
/usr/sbin/iptables -t mangle -F $SW_VERB
/usr/sbin/iptables -X $SW_VERB
/usr/sbin/iptables -t nat -X $SW_VERB
/usr/sbin/iptables -t mangle -X $SW_VERB

# stabilisco un set standard di regole abbastanza rigido:
# drop sia in input che in forward, accept in output
/usr/sbin/iptables -P INPUT DROP $SW_VERB
/usr/sbin/iptables -P OUTPUT ACCEPT $SW_VERB
/usr/sbin/iptables -P FORWARD DROP $SW_VERB

# permetto tutto il traffico su loopback
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT $SW_VERB
# permetto il traffico in entrata da eth1
/usr/sbin/iptables -A INPUT -i eth1 -j ACCEPT $SW_VERB
# permetto il traffico necessario (già stabilito o richiesto) su ppp0
/usr/sbin/iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# Blocco i ping dall'esterno
#/usr/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j DROP $SW_VERB

# regole per il forwarding
# permetto il traffico dall'esterno a patto che sia stato richiesto
/usr/sbin/iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# permetto tutto il traffico in uscita dalla lan su internet
/usr/sbin/iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT $SW_VERB
# Abilito il masquerading del server
/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE $SW_VERB

# abilito la porta 8022 per ssh sulla lan - REGOLA NON NECESSARIA IN QUANTO DEFINITA PRECEDENTEMENTE
#/usr/sbin/iptables -A INPUT -i eth1 -p tcp --dport 8022 -j ACCEPT $SW_VERB     # SSH sulla lan interna
# permetto le connessioni dall'esterno alla porta 80 per apache
/usr/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $SW_VERB        # HTTPD
# permetto le connessioni udp dall'esterno alla porta di UrbanTerror
/usr/sbin/iptables -A INPUT -i ppp0 -p udp --dport 27960 -j ACCEPT $SW_VERB     # URBAN TERROR e OPENARENA

# azzero i contatori delle varie chains
/usr/sbin/iptables -Z $SW_VERB
/usr/sbin/iptables -t nat -Z $SW_VERB
/usr/sbin/iptables -t mangle -Z $SW_VERB
sh /etc/rc.d/rc.ip_forward start

# no IP spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
        for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 > $i
        done
fi

# Disable Source Routed Packets
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
        echo 0 > $i
done


danix
myself ha scritto:non sono molto presente sul forum, e di ciò mi scuso con tutti

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da NetNightmare »

sberla54 ha scritto: Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?
e' possibile dipende da quanto e' basilare quello che vuoi
sberla54 ha scritto: ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....
io per protocollo intendo per esempio il TCP/IP forse intendi dire porte (che poi dall'inglese port che non significa porte ma sto divagando)??

sberla54 ha scritto:permettere MSN,
ti preannuncio che per bloccare MSN non basta usare un firewall dovresti usare anche un proxy come minimo quindi a meno che tu non chiuda la porta 80 e' abilitato se non hai un proxy

sberla54 ha scritto: bloccare Telnet,
perche' ? hai installato sulla tua macchina un server telnet ?????? no dovresti diciamocelo comunque basta bloocare la porta tcp 23

sberla54 ha scritto: permettere eMule ecc ecc
apri le porte 4662 e 4661 UDP e TCP

Se vuoi vedere che porte hai paerte puoi provare http://www.grc.com/x/ne.dll?rh1dkyd2

comunque per restare sul semplice ti consigli di bloccare tutto e aprire solo le porte necessarie ( KISS rule)

ciao !!!

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da conraid »

sberla54 ha scritto: Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?
http://www.netfilter.org/documentation/ ... WTO-5.html

Per le guide:
http://www.netfilter.org/documentation
http://iptables-tutorial.frozentux.net/

Per un interfaccia grafica più "seria" di quelle citate:
http://www.fwbuilder.org
ma alla fine per cose semplici è più "difficile" imparare l'interfaccia grafica che i pochi comandi necessari

Avatar utente
shark1500
Linux 3.x
Linux 3.x
Messaggi: 785
Iscritto il: gio 3 apr 2008, 14:33
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde
Località: Modna

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggio da shark1500 »

Generalmente creare un firewall per una rete casalinga (come ormai hanno gia` detto tutti) e` abbastanza semplice: ti metti li` un pomeriggio con le idee ben chiare e lo fai.

Volevo solo dire che si sta sviluppando un altro set di tool che sostituira` iptables e si chiama nftables, ma per ora non e` ancora ufficiale (anche se sono gia` uscite delle release stabili).

Rispondi