script firewall

Messaggio da **navajo** » mar 17 mag 2005, 20:45

Ragazzi, forse sarà un pochino ripetitivo, ma vorrei un vostro giudizio
 su questo piccolo firewall che ho messo su per il mio pc: 
 singolo desktop collegato ad un router in eth0 
 
 
 
 
 
 
 <pre>!/bin/bash
 
 EXTERNAL=eth0
 echo 1 > /proc/sys/net/ipv4/tcp_syncookies
 echo "SYN FLOOD control Loded"
 echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 echo "IP SPOOFING control Loded"
 
 iptables -F
 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 
 #Input session
 
 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
 iptables -A INPUT -i eth0 -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 echo "Firewall Loded" pensate che possa andar bene, oppure devo cambiare/aggiungere qualcosa? grazie

</pre>

salbutamolo · Messaggio da **salbutamolo** » lun 23 mag 2005, 9:06

Ciao a tutti, 
 il firewall che, grazie a voi, sono riuscito a sistemare funziona
 perfettamente. Tuttavia hi qualche problema con amule: il client si
 connette regolarmente al server scelto, poi quando si decide di
 iniziare un download tutto sembra funzionare perfettamente fino a che
 la lista dei server scompare e bisogna ripetere tutta la procedura.
 Inutile dire che il download non va a buon fine. Secondo me il problema
 è causato dal fatto che amule lavora tramite porta 4662 o 4672 ora non
 ricordo e nel firewall questa porta è tra le unprivileged ports. Parte
 del log del firewall durante una connessione di amule ve lo riporto qua
 sotto: 
 ------------------------------------------------------------------------------------------------------- 
 21/05/2005 14:03:14 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12567 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK FIN
 URGP=0 
 
 21/05/2005 14:03:14 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12569 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:15 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12571 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:16 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12573 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:18 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12575 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:22 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12577 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:30 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12579 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:03:47 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12581 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:04:19 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12583 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 
 21/05/2005 14:05:25 nautilus
 kernel INVALID ouput: IN= OUT=eth0
 SRC=192.168.1.3 DST=62.211.72.30 LEN=52 TOS=0x00 PREC=0x00 TTL=64
 ID=12585 DF PROTO=TCP SPT=52103 DPT=110 WINDOW=16022 RES=0x00 ACK PSH
 FIN URGP=0 
 ------------------------------------------------------------------------------------------------------- 
 Mi chiedevo se esiste un modo per rendere disponibile questa porta senza spalancarla senza pietà. Have a nice day

salbutamolo · Messaggio da **salbutamolo** » lun 23 mag 2005, 10:25

Ciao a tutti, 
 dando un´occhiata alle regole del mio firewall avrei pensato di scriverne una par a mule più o meno così: 
 --------------------------------------------------------------------------------------------------------- 
 
 
 
 
 
 
 <pre>if [ "$CONNECTION_TRACKING" = "1" ]; then iptables -A OUTPUT -o $INTERNET -p tcp \ -s $IPADDR --sport $UNPRIVPORTS \ -d $NAMESERVER --dport 4672 \ -m state --state NEW -j ACCEPT fi iptables -A OUTPUT -o $INTERNET -p tcp \ -s $IPADDR --sport $UNPRIVPORTS \ -d $NAMESERVER --dport 4672 -j ACCEPT iptables -A INPUT -i $INTERNET -p tcp ! --syn \ -s $NAMESERVER --sport 4672 \ -d $IPADDR --dport $UNPRIVPORTS -j ACCEPT ------------------------------------------------------------------------------------------------------- Lo stesso farei, naturalmente con le opportune modifiche per la porta udp 4672! Mi viene però un dubbio...nel caso le regole andassero bene rimarebbero comunque sempre a ttive nel firewall e io non sono un grande utilizzatore di amule......forse mi conviene fare uno scriptino che mi apra le porte interessate per iltempo che mi occorrre una cosa tipo questa: --------------------------------------------------------------------------------------------------- iptables -A INPUT -p tcp --dport 4662 -j iptables -A INPUT -p udp --dport 4672 -j ACCEPT ----------------------------------------------------------------------------------------------------- per poi richiuderle una volta finito di utilizzare amule, lanciando nuovamente lo script del firewall. Che ne dite voi? Qualè a parer vostro la soluzione migliore? Have a nice day ACCEPT </pre>

gerardo_sl · Messaggio da **gerardo_sl** » mar 24 mag 2005, 3:34

citazione 
 --------------- 
 Tuttavia hi qualche problema con amule: 
 --------------- 
 Veramente divertente! 
 Ciao Sal, 
 Non so se riuscirò ad aiutarti questa volta; non conosco amule: la mia porta 4662 subisce tenattivi di intrusioni 
 ogni due minuti da un paio d´anni e non me la sento di aprirla per fare dei test. 
 Il problema dei download interrotti può avere più cause. 
 Il firewall applica la procedura del tracciamento delle connessioni, con INVALID sul modulo state: nei collegamenti 
 bidirezionali questo può portare all´interruzione del protocollo se non dotato di supporto ALG (per ora solo su FTP ed IRC). 
 Un altro problema può essere dato da come funziona il peer. Se c´é un server centrale che si 
 preoccupa semplicemente di comunicare ai vari partecipanti l´indirizzo degli altri, questi ti invieranno 
 un pacchetto col solo SYN impostato per chiedere l´accesso ai segmenti del file presenti nel tuo 
 computer.Il tuo firewall, però, li rifiuterà e, di conseguenza, gli altri computers inizieranno a 
 negarti a loro volta l´accesso. 
 Può darsi che ci sia anche dell´altro. I forums hanno una nutrita letteratura nei loro threads su 
 questo argomento, ma delle cui soluzioni mi fido poco. 
 E´ la prima volta che vedo dei log a riguardo e non mi piacciono per niente. Succede che il 
 pacchetto tenta di uscire da una porta dinamica (52103) per raggiungere la 110 (POP3) di 
 chi lo aspetta (o non lo aspetta), cioé il server di posta TIN: ci farei un pensierino. 
 La mia opinione é che sarebbe meglio costruire un firewall dedicato, dove lasciare aperto solo 
 lo stretto necessario per amule (posto che tale "stretto necessario" risulti, poi, lecito). Inoltre 
 sarebbe bene chiudere tutti i servizi non indispensabili (escluso sysklogd). 
 Sarebbe bene dotarsi anche di Portsentry per bloccare eventuali tentativi di portscan; chkrootkit 
 ed altri tools per analizzare lo stato del sistema a trasferimanto avvenuto. 
 
 Io ho usato un paio di volte Bitorrent con P.H.L.A.K.: rigorosamente in CD-Live, montavo una partizione vuota 
 dove stockare i files da prelevare, caricavo le difese ed avviavo il download. 
 
 ................................................................................................................................. 
 
 Ho visto un post di Navajo. 
 Ciao Navajo e senti una cosa: anche se navighi dietro un router dotato di firewall, il suo NAT 
 é perforabile se sono abilitati gli scripting java (chissà come gongola Useless); di conseguenza 
 é opportuno che anche quello del computer abbia le <a href="mailto:p@%21%21e.%3Cbr" target="_new">p@!!e. <== Ehm, non scrivetemi a queso indirizzo: non é la mia email </a> [ Questo Messaggio è stato Modificato da: gerardo_sl il 25-05-2005 02:39 ]

salbutamolo · Messaggio da **salbutamolo** » mar 24 mag 2005, 8:18

Ciao Gerardo, 
 sempre prodigo nell´aiutarmi su iptables....ca**o sono una bestia su sto argomento devo migliorare

BTW, nemmeno a me piacevano quei log, e non ho intenzione di costruire
 un firewall dedicato ad amule, se il firewall decide che è male bene
 male sia....non voglio intrusioni. Userò una distro live, come fai tu,
 se proprio devo usare un p2p. Ripeto ne faccio uso veramente sporadico!
 BTW, sono contento che la versione finale del mio firewall faccia il
 suo mestiere. Grazie ancora, 
 have a nice day

gerardo_sl · Messaggio da **gerardo_sl** » mer 25 mag 2005, 2:36

Io, invece, il firewall lo farei, anzi, lo farò. 
 Tieni presente che l´utilizzo di una Live non ti risolve tutti i problemi. Certo, se ti scassano il sistema 
 basta riavviare, inoltre non ci saranno configurati alcuni servizi come posta o news; ma dovrai 
 comunque creare un utente normale e cambiare la password di root, giacché ti potrebbero comunque 
 formattare i dischi fissi (ed allora credo che probabilmente sarebbe peggio che non usare la 
 normale installazione). 
 Inoltre saresti comunque esposto a fare da sponda per un attacco diretto ad altri ed a questo scopo 
 immagino che i computers privati siano i più appetibili (certo non vai a pagare un professonista 
 della sicurezza per utilizzare emule). 
 Alla fine il firewall che mandi fuori dalla porta, ti rientra dalla finestra; mettiti il cuore in pace: non 
 puoi farne a meno. 
 Io, poi, non ho parlato a caso di PHLAK e Bitorrent. Bitorrent é estremamente semplice e credo 
 che emule non sia altrettanto; mentre PHLACK é dotato di tutti gli strumenti di analisi di rete. 
 Puoi alzare il livello di sicurezza del sistema creando gruppo ed utente destinato allo scopo, in 
 modo che abbia privilegi ancora più limitati del normale: senza possibilità di accesso a posta 
 od altro, limitando il suo Path e magari installando ciò che deve utilizzare direttamente nella 
 directory personale. Penso che si possa arrivare ad un buon livello di sicurezza. 
 
 Devo capire esattamente come funziona questo emule, quindi andrò a procurarmi i sorgenti 
 e guadarci dentro: mi occore un pò di tempo. 
 Dai un´occhiata al thread ogni tanto: se ci troverai un´icona in testa potrei essere io che ho 
 quacosa da dirti. 
 Ciao.

gerardo_sl · Messaggio da **gerardo_sl** » gio 26 mag 2005, 2:55

Ciao Sal, 
 ho guardato un po´ di cose e non sono troppo fiducioso: Amule sembra chiedere un po´ troppo (almeno secondo 
 la documentazione, che però é scarsina). 
 Ho comunque steso una bozza che troverai in allegato: é piuttosto restrittiva, ma vorrei vedere se si accontenta 
 (qualcosa di più possiamo dargi). 
 Dovrai inserire i tuoi parametri (tuo IP e DNS); potrai solo usare Amule (posto che funzioni) e fare una limitata 
 navigazione web. Non hai molto da temere giacché sono stati disabilitati tutti gli altri servizi. E´ possibile che trovi 
 molti log:niente paura, li ho ablitati appositamente per sapere cosa chiede il programma. Quelli che mi 
 interessano sono quelli col prefisso tipo "unauthorized tcp (udp)" , in particolare se ce n´é qualcuno che 
 riguarda le porte 113 e 443 (non mettermene 50 righe, però). 
 Può darsi che funzioni, che non funzioni, o che vada lento; fammelo sapere. 
 Buona fortuna. 
 
 [ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:40 ]
 [ Questo Messaggio è stato Modificato da: gerardo_sl il 26-05-2005 05:41 ]

salbutamolo · Messaggio da **salbutamolo** » gio 26 mag 2005, 8:01

Ciao Gerardo, 
 grazie dell´interessamento ora provo se amule si accontenta e altrimenti che si impicchi al più alto pennone!

Have a nice day