#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#
IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo
# Stampa a video dei comandi impartiti
set -x
# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z
# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT
# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT
# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT
# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT
# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT
Semplice firewall che non mi permette la navigazione........
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Semplice firewall che non mi permette la navigazione........
Ci manca poco, ma è quel poco che non mi permette di utilizzae la connessione
Re: Semplice firewall che non mi permette la navigazione....
Lo script l'ho fatto ovviamente con la guida netlink consigliatami da qualcuno sul forum....ChriD ha scritto:Ci manca poco, ma è quel poco che non mi permette di utilizzare la connessione
#!/bin/bash
#
# Firewall con politica di blocco catene INPUT e FORWARD
#
IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo
# Stampa a video dei comandi impartiti
set -x
# Pulitura delle impostazioni delle catene
$IPT -F
$IPT -X
$IPT -Z
# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncoockies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_enp
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abilito il traffico su localhost
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT
# Abilito il traffico in e da un server DNS
$IPT -A INPUT -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 53 -j ACCEPT
$IPT -A INPUT -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 53 -j ACCEPT
# Abilito il traffico su lan
$IPT -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -A OUTPUT -p icmp -s $LAN -j ACCEPT
# Abilito la navigazione internet
$IPT -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 443 -j ACCEPT
# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -A OUTPUT -p TCP --sport 113 -j ACCEPT
c'è qualcosa da implementare per la condivisione con ssh ma poi lo farò..
Una domanda...: ma 127.0.0.1 è il loopback ma di che si tratta precisamente?? a che serve????
- masalapianta
- Iper Master

- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....masalapianta ha scritto:per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
comunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....
se poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente....
Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!
già letta!!!Firetux ha scritto:http://www.commedia.it/ccontavalli/docs ... s4dummies/
lì si parla di configurazioni con iptables con la creazione di 6 nuove catene di filtering!
Non mi sembra sia un qualcosa che poi debba essere destinato ad uso casalingo......
- masalapianta
- Iper Master

- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
non ti serve una guida, ti serve un buon testo universitario sul tcp/ip (ti ho gia consigliato lo Stevens)ChriD ha scritto: avresti qualche guida da consigliare a parte quelle che solitamente vengono consigliate che le ho già lette tutte! qualche guida più completa sui protocolli sull'utilizzo più completo e approfondito di iptables....
grossolani errori concettuali tipo droppare tutti gli icmp o tutti meno che gli echo request provenienti dalla tua sottorete e gli echo reply in risposta; errori che dimostrano che non si ha la benche' minima idea di cosa siano gli icmp e a cosa servanocomunque parli di grossolani errori.... io ho ripreso un firewall da una guida che interviene sia sulla catena in input che quella in output consigliato su questo forum.....
non capisci perche' non conosci il tcp/ip e vuoi metter su un firewall usando delle "guide"; e' un po come non sapere una mazza di chirurgia e voler fare un trapianto di fegato dopo aver visto un servizio su questi interventi a superquarkse poi ci sono errori grossolani, fammeli notare perchè io non capisco veramente....![]()
ripeto:Non mi interessano super firewall, mi interessa creare un qualcosa di mio, sapendo quello che fa e aggiornarlo mano a mano che si presentano nuove esigenze!
per gli utenti casalinghi basta disabilitare i servizi non necessari e applicare gli aggiornamenti di sicurezza quando necessari; non serve assolutamente un firewall, anzi il piu' delle volte e' dannoso.
Se invece lo vuoi tirare su per motivi di studio allora dovresti cominciare da un buon testo sul tcp/ip (se hai soldi da spendere ti consiglio lo Stevens) in quanto i grossolani errori concettuali presenti nel tuo script dimostrano che non hai ben chiaro come funzionano questi protocolli.
- masalapianta
- Iper Master

- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Mi arrendo.....
come si chiama questo stevens???
comunque adesso riesco a anvigare con questo firewall....:
come si chiama questo stevens???
comunque adesso riesco a anvigare con questo firewall....:
#!/bin/bash
#
# Firewall con politica di blocco catene INPUT, FORWARD e OUTPUT
#
IPT=/usr/sbin/iptables
LAN=192.168.1.0/192.168.1.255
GATEWAY=192.168.1.1
ECHO=/bin/echo
# Stampa a video dei comandi impartiti
set -x
# Pulitura delle impostazioni delle catene
$IPT -t filter -F
$IPT -t filter -X
$IPT -t filter -Z
# Impostazione della politica di default: TUTTO BLOCCATO
$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -t filter -P OUTPUT DROP
# Impostazione dei parametri del Kernel
#### SETTING IP FORWARDING ####
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
#### DISABLE RESPONDIG TO BROADCAST PINGS ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#### ABILITO PROTEZIONE CONTRO ATTACCHI SYNCOOCKIES ####
$ECHO "1" > /proc/sys/net/ipv4/tcp_syncookies
#### EXPLICIT CONGESTION NOTIFICATION PROTOCOL #### (di norma disabilitato)
$ECHO "0" > /proc/sys/net/ipv4/tcp_ecn
#### ENABLE BAD ERROR MESSAGE PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#### DISABLE ICMP REDIRECT ACCEPTANCE ####
$ECHO "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#### SETTING ANTISPOOFING PROTECTION ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#### REGISTRAZIONE DEI PACCHETTI STRANI NEL FILE DI LOG ####
$ECHO "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Abilito l'apertura a tutte le connessioni già stabilite
$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Abilito il traffico su localhost
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A OUTPUT -o lo -j ACCEPT
# Abilito il traffico in e da un server DNS
$IPT -t filter -A INPUT -p TCP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPT -t filter -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p UDP -s 0/0 --dport 53 -j ACCEPT
# Abilito il traffico su lan
$IPT -t filter -A INPUT -p icmp -s $LAN -j ACCEPT
$IPT -t filter -A OUTPUT -p icmp -s $LAN -j ACCEPT
# Abilito la navigazione internet
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
$IPT -t filter -A OUTPUT -o eth0 -p TCP --dport 443 -j ACCEPT
# Velocizziamo il firewall permettendo di passare le connessioni ident
# generate dal firewall verso ext
$IPT -t filter -A INPUT -p TCP --sport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --dport 113 -j ACCEPT
# generate da ext verso firewall
$IPT -t filter -A INPUT -p TCP --dport 113 -j ACCEPT
$IPT -t filter -A OUTPUT -p TCP --sport 113 -j ACCEPT
- masalapianta
- Iper Master

- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
- Luci0
- Staff

- Messaggi: 3591
- Iscritto il: lun 27 giu 2005, 0:00
- Nome Cognome: Gabriele Santanché
- Slackware: 12.2 14.0
- Kernel: 2.6.27.46- gen 3.2.29
- Desktop: KDE 3.5.10 Xfce
- Località: Forte dei Marmi
- Contatta:
Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..
prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/
....... comunque studiare non fa male
basta aver tempo... 
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..
prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/
....... comunque studiare non fa male
Eh... parole sante.... il rpoblema è il tempo!Luci0 ha scritto:Forse dovresti utilizzare qualche script preconfezionato tipo gShield
http://muse.linuxmafia.org/gshield.html che permette anche ai profani di dotarsi di un firewall basato su iptables... il sito principale non é un granché sembra che il link del download non sia ok..
prova per il download ...
http://www.mirrors.wiretapped.net/secur ... Shield/v2/
....... comunque studiare non fa malebasta aver tempo...
comunque la settimana prox. mi procuro questo stevens e poi vediamo.......
firewall preconfezionati non ne vorrei utilizzare.....
- Trotto@81
- Iper Master

- Messaggi: 3558
- Iscritto il: sab 26 giu 2004, 0:00
- Nome Cognome: Andrea
- Slackware: Slackware64 14.2 bet
- Kernel: default
- Desktop: KDE 4.14.14
- Località: Monasterace M. (RC)
- Contatta:
Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!masalapianta ha scritto:tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazonChriD ha scritto: come si chiama questo stevens???
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!
Grazie del consiglio....Trotto@81 ha scritto:Non ti serve nessun libro universitario, inizia a costruirti il tuo firewall casalingo e con calma impari tutto quello che c'è da sapere, e di sicuro non è la programmazzione dei protocolli di rete!!masalapianta ha scritto:tcp/ip illustrated, son 3 volumi, volendo lo trovi anche su amazonChriD ha scritto: come si chiama questo stevens???
Ti serve sapere solo la differenza tra TCP UDP ICMP, e come avviene la connessione con questi tre protocolli. Stop!
Questa mi sembra una cosa più fattibile!
Lo seguirò senz'altro

