Repository 32bit  Forum
Repository 64bit  Wiki

Interfaccia per configurare firewall o IpTables a mano?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Interfaccia per configurare firewall o IpTables a mano?

Messaggioda sberla54 » ven apr 03, 2009 18:54

Ciao a tutti!

Vorrei riconfigurare il mio personal firewall su Slackware 12.2, senza perderci una vita, ma in maniera abbastanza precisa da sentirmi al sicuro, e non so se rivolgermi ad un qualche front-end grafico o imparare a configurare IpTables a mano.

Fino ad oggi, seguendo la Slackware4Dummies, ho sempre utilizzato l'interfaccia GuardDog, che pero' non mi e' mai piaciuta piu' di tanto: non e' molto chiaro il suo funzionamento, e' identico a se stesso da anni ed anni e poi non offre molte features avanzate, nel caso in cui le volessi usare.

L'unica altra alternativa che mi e' venuta in mente e' FireStarter, che pero' non ho mai usato. Com'e'? Ne vale la pena?
E' sempre una semplice gui di configurazione di Iptables, come GuardDog, o e' un simil personal firewall alla Windows, che si esegue all'avvio e rimane li in esecuzione?
Perche' io vorrei una gui di iptables....

Ho chiesto questa stessa cosa su IRC, nel chan di Slacky ed in altri chan su slackware e mi hanno tutti detto che configurano IpTables a mano, senza metterci neanche piu' di tanto; a me piacerebbe imparare a manipolare Iptables da livello piu' basso e preciso possibile, pero' fino ad oggi non mi ci sono mai messo e non e' proprio un periodo in cui ho molto tempo libero.
E' lungo da imparare?
Avete qualche buona guida da consigliarmi?
Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?

Io fondamentalmente vorrei mantenere la tipologia di firewall che usavo con GuardDog, ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....permettere MSN, bloccare Telnet, permettere eMule ecc ecc
Non ho bisogno di particolari settaggi avanzati, anche se vorrei uno strumento che mi permettesse di utilizzarli, nel caso...

Inoltre, una volta configurato il firewall, vorrei qualche dritta per controllarne la solidita'...il numero delle porte aperte, i servizi che risultano ancora accessibili dall'esterno eccetera....mi potreste dare una mano?

Grazie in anticipo...come sempre!
Avatar utente
sberla54
Linux 3.x
Linux 3.x
 
Messaggi: 1499
Iscritto il: mer giu 23, 2004 23:00
Località: Bologna
Slackware: 13.0
Desktop: Gnome (o Fluxbox)
Distribuzione: Ubuntu

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda NetNightmare » ven apr 03, 2009 19:39

Avatar utente
NetNightmare
Linux 2.0
Linux 2.0
 
Messaggi: 175
Iscritto il: lun ago 18, 2008 10:00
Località: Rome
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda navajo » ven apr 03, 2009 19:45

Domandare qui, se vale la pena imparare e usare uno script iptables è come chiedere all' oste se il vino è buono :D :D :D
A parte gli scherzi, creare un firewall ad hoc, per un desktop non è difficilissimo, e non servono molte regole. Sul forum ci sono molti thread al riguardo, compresi esempi. Per la guida, io ho iniziato con le guide di openskil: http://openskill.info/browse.php
Naturalmente sul sito di netfilter cè dell' ottimo materiale :
http://www.netfilter.org/documentation/index.html#HOWTO

Senza contare poi la soddisfazione di fare da se il propio firewall :D

EDIT: mi hanno preceduto
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3769
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda danix » ven apr 03, 2009 19:55

Io l'ho configurato da qualche giorno, mi hanno aiutato sia su #slackware che su #sardylan, all'inizio pensavo anche io che fosse chissà quanto difficile, ma poi ho capito che in realtà non si tratta di nulla di complicato o trascendentale... basta stare attenti a ciò che si scrive... ;)

Ti posto il mio firewall (lo uso sul server che mi fa da gateway e che offre alcuni servizi all'esterno), è molto basilare e anche commentato, quindi non dovrebbe essere difficile da capire, magari prendilo come spunto, segui una delle guide che ti hanno consigliato e cerca di capire il mio FW cosa fa, vedrai che il resto viene da se...

Codice: Seleziona tutto
$ cat /etc/rc.d/rc.firewall
#!/bin/bash

SW_VERB="-v"

# blocco il forwarding dei pacchetti
sh /etc/rc.d/rc.ip_forward stop

# cancello tutte le regole precedenti (nel caso ci fossero)
# e tutte le catene di regole "user defined"
/usr/sbin/iptables -F $SW_VERB
/usr/sbin/iptables -t nat -F $SW_VERB
/usr/sbin/iptables -t mangle -F $SW_VERB
/usr/sbin/iptables -X $SW_VERB
/usr/sbin/iptables -t nat -X $SW_VERB
/usr/sbin/iptables -t mangle -X $SW_VERB

# stabilisco un set standard di regole abbastanza rigido:
# drop sia in input che in forward, accept in output
/usr/sbin/iptables -P INPUT DROP $SW_VERB
/usr/sbin/iptables -P OUTPUT ACCEPT $SW_VERB
/usr/sbin/iptables -P FORWARD DROP $SW_VERB

# permetto tutto il traffico su loopback
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT $SW_VERB
# permetto il traffico in entrata da eth1
/usr/sbin/iptables -A INPUT -i eth1 -j ACCEPT $SW_VERB
# permetto il traffico necessario (già stabilito o richiesto) su ppp0
/usr/sbin/iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# Blocco i ping dall'esterno
#/usr/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j DROP $SW_VERB

# regole per il forwarding
# permetto il traffico dall'esterno a patto che sia stato richiesto
/usr/sbin/iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# permetto tutto il traffico in uscita dalla lan su internet
/usr/sbin/iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT $SW_VERB
# Abilito il masquerading del server
/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE $SW_VERB

# abilito la porta 8022 per ssh sulla lan - REGOLA NON NECESSARIA IN QUANTO DEFINITA PRECEDENTEMENTE
#/usr/sbin/iptables -A INPUT -i eth1 -p tcp --dport 8022 -j ACCEPT $SW_VERB     # SSH sulla lan interna
# permetto le connessioni dall'esterno alla porta 80 per apache
/usr/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $SW_VERB        # HTTPD
# permetto le connessioni udp dall'esterno alla porta di UrbanTerror
/usr/sbin/iptables -A INPUT -i ppp0 -p udp --dport 27960 -j ACCEPT $SW_VERB     # URBAN TERROR e OPENARENA

# azzero i contatori delle varie chains
/usr/sbin/iptables -Z $SW_VERB
/usr/sbin/iptables -t nat -Z $SW_VERB
/usr/sbin/iptables -t mangle -Z $SW_VERB
sh /etc/rc.d/rc.ip_forward start

# no IP spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
        for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo 1 > $i
        done
fi

# Disable Source Routed Packets
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
        echo 0 > $i
done


Avatar utente
danix
Staff
Staff
 
Messaggi: 3280
Iscritto il: ven ott 27, 2006 18:32
Località: Siderno (RC)
Nome Cognome: Danilo M.
Slackware: 64 14.0
Kernel: 3.2.29
Desktop: fluxbox

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda NetNightmare » ven apr 03, 2009 20:33

sberla54 ha scritto:Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?


e' possibile dipende da quanto e' basilare quello che vuoi

sberla54 ha scritto: ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....


io per protocollo intendo per esempio il TCP/IP forse intendi dire porte (che poi dall'inglese port che non significa porte ma sto divagando)??


sberla54 ha scritto:permettere MSN,


ti preannuncio che per bloccare MSN non basta usare un firewall dovresti usare anche un proxy come minimo quindi a meno che tu non chiuda la porta 80 e' abilitato se non hai un proxy


sberla54 ha scritto: bloccare Telnet,


perche' ? hai installato sulla tua macchina un server telnet ?????? no dovresti diciamocelo comunque basta bloocare la porta tcp 23


sberla54 ha scritto: permettere eMule ecc ecc


apri le porte 4662 e 4661 UDP e TCP

Se vuoi vedere che porte hai paerte puoi provare http://www.grc.com/x/ne.dll?rh1dkyd2

comunque per restare sul semplice ti consigli di bloccare tutto e aprire solo le porte necessarie ( KISS rule)

ciao !!!
Avatar utente
NetNightmare
Linux 2.0
Linux 2.0
 
Messaggi: 175
Iscritto il: lun ago 18, 2008 10:00
Località: Rome
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda conraid » sab apr 04, 2009 11:32

sberla54 ha scritto:Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?


http://www.netfilter.org/documentation/ ... WTO-5.html

Per le guide:
http://www.netfilter.org/documentation
http://iptables-tutorial.frozentux.net/

Per un interfaccia grafica più "seria" di quelle citate:
http://www.fwbuilder.org
ma alla fine per cose semplici è più "difficile" imparare l'interfaccia grafica che i pochi comandi necessari
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11994
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Interfaccia per configurare firewall o IpTables a mano?

Messaggioda shark1500 » sab apr 04, 2009 12:41

Generalmente creare un firewall per una rete casalinga (come ormai hanno gia` detto tutti) e` abbastanza semplice: ti metti li` un pomeriggio con le idee ben chiare e lo fai.

Volevo solo dire che si sta sviluppando un altro set di tool che sostituira` iptables e si chiama nftables, ma per ora non e` ancora ufficiale (anche se sono gia` uscite delle release stabili).
Avatar utente
shark1500
Linux 2.6
Linux 2.6
 
Messaggi: 785
Iscritto il: gio apr 03, 2008 13:33
Località: Modna
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti