Posted: Sun May 22, 2005 6:04 pm Post subject: [Tip] Uno script di init per iptables
A giro per la rete (e per le guide gentoo) ho raccattato un po' di script di init per iptables e ne ho fatto un copia&incolla ragionato...
Siccome tanta gente spesso posta topic in cerca di una configurazione per il loro firewall casalingo, questo penso possa fare al caso loro...
[AGGIORNATO 01/05/2007]
- Lo script di init non contiene più regole preimpostate ma si appoggia esclusivamente ad uno script esterno per le regole da caricare
- Lo script di esempio per le regole è ora un po' più interattivo e contiene alcuni parametri da riga di comando con cui chiamare più set di regole. Date un'occhiata allo script ma è abbastanza intuitivo.
- La directory di default per lo script è ora /etc/firewall e non più /etc/conf.d in quanto ritengo sia più appropriata
Va copiato il /etc/init.d/ con il nome che preferite (io l'ho chiamato "muro_di_fuoco") e aggiunto al runlevel che volete
poi dategli i permessi giusti con
Code: | chmod 755 /etc/init.d/muro_di_fuoco
chown root:root /etc/init.d/muro_di_fuoco |
Ha delle opzioni che sono molto intuitive e che sono descritte in fondo allo script
In ogni caso basta lanciare Code: | /etc/init.d/muro_di_fuoco showoptions | per vedere le opzioni
Create anche una cartella /etc/firewall
Code: | mkdir /etc/firewall
chmod 700 /etc/firewall |
per lo script contenente le regole da caricare. Se preferite potete specificare una directory diversa nello script di init.
in /etc/firewall/muro_di_fuoco potete scrivere le vostre regole personalizzate (sotto forma di script eseguibile... ) che verranno caricate all'avvio dello script
In questo stesso post trovate un esempio di file di configurazione.
In pratica in questo modo avete un modo veloce e "user friendly" per caricare le vostre regole del firewall (con la possibilità di fare start, stop, restart, block_all, status etc... )
Code: |
#Defininco la posizione degli eseguibili di iptables
#file di configurazione del firewall
#deve essere uno script eseguibile con una sintassi bash
IFACE=eth0 #Interfaccia esterna (internet)
LFACE=eth1 #Interfaccia interna (lan)
opts="${opts} showstatus block_all save restore showoptions"
depend() {
need net
start() {
ebegin "Caricamento regole del firewall"
if [ -e "${FIREWALL}" ]; then
eend $?
eend 1 "${FIREWALL} non esiste"
return 1
stop() {
ebegin "Arresto del firewall (tutte le regole su ACCEPT)"
#Clear all chains in all tables
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Set Defaults to ACCEPT
eend $?
showstatus() {
ebegin "Status"
$IPTABLES -L -n -v --line-numbers
einfo "NAT status"
$IPTABLES -L -n -v --line-numbers -t nat
eend $?
block_all() {
ebegin "Impostazione delle regole di BLOCCO TOTALE in entrata e in uscita"
#Clear all chains and accept packets only from localhost
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
eend $?
save() {
ebegin "Salvataggio delle regole del firewall"
eend $?
restore() {
ebegin "Ripristino delle regole del firewall"
eend $?
restart() {
svc_stop; svc_start
showoptions() {
echo "Usage: $0 {start|save|restore|block_all|stop|restart|showstatus}"
echo "start) Avvia le regole impostate in ${FIREWALL}"
echo "stop) Cancella le regole e imposta tutto su ACCEPT"
echo "restart) Arresta e riavia il firewall"
echo "save) Salva le regole in ${FIREWALL_SAVE}"
echo "restore) Ripristina le regole da ${FIREWALL_SAVE}"
echo "showstatus) Mostra lo status del firewall"
echo "block_all) Blocca tutti i pacchetti (accetta solo pacchetti da localhost)"
Siccome è casalingo e copiato-incollato potrebbe avere dentro degli errori di cui non mi sono accorto... a occhio mi sembra di no, ma suggerimenti sono bene accetti
Questo che segue è un esempio di regole personalizzate da aggiungere in /etc/firewall/muro_di_fuoco (ricordatevi di rendelo eseguibile con un chmod 700)
Se volete potete anche aggiungerlo al $PATH e chiamarlo da terminale come un qualsiasi programma. In questo caso la cosa migliore è aggiungere questo link Code: | ln -s /etc/firewall/muro_di_fuoco /usr/local/sbin/muro_di_fuoco | in modo da non dover inserire il path completo ogni volta che viene lanciato.
Vengono definite diverse catene sia in entrata che in uscita (potete applicarle o meno a vostro piacimento... di default ne sono applicate ben poche) e vengono lasciati uscire anche i pacchetti INVALID (in modo da consentirvi di effettuare dei portscan ).
Vi consiglio di cambiare la porta di ssh e di spostarla da quella di default (22) verso una più alta (che so.... > 1024 e < 65535 sicuramente) che è molto più sicuro...
Per aggiungere le catene al firewall modificate o aggiungete le funzioni nella sezione #FUNZIONI. In alternativa potete direttamente modificare la parte finale dello script ma non ve lo consiglio
Se avete bisogno di aiuto per definire le regole contattatemi pure via pm (non ne abusate però! )
Ho Modificato leggermente questo script in modo da renderlo un po' più interattivo. Adesso accetta paramentri da riga di comando (se non specificati carica un set di regole di default). E' possibile creare, nell'apposita sezione, delle funzioni contenenti le chiamate alle catene opportune da abilitare; in questo modo si può ignorare quanto riportato nella parte finale dello script e leggere solamente le prime cento righe.
E' solo un aggiornamento estetico; le funzionalità rimangono inalterate.
Code: | #!/bin/sh
#Defininco la posizione degli eseguibili di iptables
IFACE=eth1 #Interfaccia esterna
LFACE=eth0 #Interfaccia interna
#Default gateway
#Definizioni delle porte
#Definisco i set di regole da caricare
#Queste regole sono definite come funzioni da chiamare al momento di
#applicare le catene. Ogni funzione definisce le funzioni input, output e
#forward da applicare rispettivamente a INPUT, OUTPUT e FORWARD.
#A seconda dei parametri passati da riga di comando posso chiamare diversi
#set di regole. Se non specifico niente chiama il set di default.
#Ricordarsi sempre di aggiornare la lista dei parametri accettati.
#Le funzioni devono avere lo stesso nome dei parametri corrispondenti.
LISTA_PARAMETRI="default block server forward"
#Lista catene (solo per comodita'):
# bittorrent_in connessioni_avviate dns_query fasttrack_in ftp_in gnutella2_in
# http_out icmp_in icmp_out ml_bittorrent_in mldonkey_gui mldonkey_in portscan
# rsync_in samba_in smtp_in ssh_in ssh_out syn_flood telnet_in
default() {
input() {
$IPTABLES -A INPUT -j ssh_in
output() {
sleep 0
forward() {
sleep 0
server() {
input() {
echo "Carico set di regole 'server'"
$IPTABLES -A INPUT -j ssh_in
$IPTABLES -A INPUT -j rsync_in
$IPTABLES -A INPUT -j samba_in
$IPTABLES -A INPUT -j mldonkey_in
$IPTABLES -A INPUT -j mldonkey_gui
output() {
sleep 0
forward() {
sleep 0
forward() {
input() {
$IPTABLES -A INPUT -j ssh_in
output() {
sleep 0
forward() {
echo "Forwarding dalla porta $LFACE a $GATEWAY"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $LFACE -j SNAT --to $GATEWAY
#Definisco quanto specificato da parametro.
if [ ${#@} -gt 0 ]; then
for i in $@; do
if [ `echo $LISTA_PARAMETRI|grep -e $i|wc -l` -gt 0 ]; then
[ $i != block ] && $i
echo "parametro '$i' sconosciuto"
echo "Lista dei parametri accettati:"
exit 0
#Pulisco tutte le regole e ripristino quelle di default (ACCEPT)
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
#Se ho specificato il parametro "block" blocca tutto il traffico in e out
BLOCK=`echo $@|grep block |wc -l`
if [ $BLOCK -gt 0 ]; then
echo "blocking all network trafic 'in' and 'out'"
exit 0
#Set Defaults to ACCEPT
#Definisco la policy di default
#Definisco le catene per i vari tipi di paccehtti
#Catena per le connessioni già avviate (da mettere in fondo alle regole)
$IPTABLES -N connessioni_avviate
$IPTABLES -F connessioni_avviate
$IPTABLES -A connessioni_avviate -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A connessioni_avviate -i $IFACE -m limit -j LOG --log-prefix "FW:Bad packet from ${IFACE}:"
$IPTABLES -A connessioni_avviate -j DROP
#Catena per il traffico ICMP in entrata
#ICMP (in entrata) Solo se fanno parte di connessioni preesistenti, cioè si tratta di una risposta ad un
#pacchetto inviato dalla nostra rete
$IPTABLES -N icmp_in
$IPTABLES -F icmp_in
$IPTABLES -A icmp_in -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A icmp_in -p icmp --icmp-type destination-unreachable -j ACCEPT
#protezione dai PING-FLOOD
$IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT
$IPTABLES -A icmp_in -p icmp -j LOG --log-prefix "FW:Bad ICMP traffic:"
#Protezione dai SYN-FLOOD
# $IPTABLES -N syn_flood
# $IPTABLES -F syn_flood
# $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
# $IPTABLES -A syn_flood -p tcp --syn -j DROP
#Catena per il traffico ICMP in uscita
#ICMP (in uscita) Tutti gli icmp
$IPTABLES -N icmp_out
$IPTABLES -F icmp_out
$IPTABLES -A icmp_out -o $IFACE -p icmp -j ACCEPT
#Catena per il DNS query
#DNS (client -> server) Vengono abilitate le query in uscita ai DNS servers
$IPTABLES -N dns_query
$IPTABLES -F dns_query
$IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per SSH in entrata
#SSH (in entrata) In entrata abilitato il traffico per la porta $SSH_PORT
#Limtati i pacchetti RST FIN e SYN a 1/second
$IPTABLES -N ssh_in
$IPTABLES -F ssh_in
$IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL RST --dport $SSH_PORT -j ACCEPT
$IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL FIN --dport $SSH_PORT -j ACCEPT
$IPTABLES -A ssh_in -i $IFACE -m limit --limit 1/second -p tcp --tcp-flags ALL SYN --dport $SSH_PORT -j ACCEPT
$IPTABLES -A ssh_in -i $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per SSH in uscita abilita le connessioni ssh alla porta $SSH_PORT e a quella di default (22)
$IPTABLES -N ssh_out
$IPTABLES -F ssh_out
$IPTABLES -A ssh_out -o $IFACE -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A ssh_out -o $IFACE -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per il traffico HTTP e HTTPS in uscita
$IPTABLES -N http_out
$IPTABLES -F http_out
$IPTABLES -A http_out -o $IFACE -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A http_out -o $IFACE -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per SAMBA in entrata
$IPTABLES -N samba_in
$IPTABLES -F samba_in
$IPTABLES -A samba_in -i $IFACE -p udp --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A samba_in -i $IFACE -p udp --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A samba_in -i $IFACE -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A samba_in -i $IFACE -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per FTP in entrata
#FTP (in uscita)
$IPTABLES -N ftp_in
$IPTABLES -F ftp_in
$IPTABLES -A ftp_in -i $IFACE -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per RSYNC in entrata
$IPTABLES -N rsync_in
$IPTABLES -F rsync_in
$IPTABLES -A rsync_in -i $IFACE -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per TELNET in entrata
$IPTABLES -N telnet_in
$IPTABLES -F telnet_in
$IPTABLES -A telnet_in -i $IFACE -p tcp --dport 23 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per SMTP in entrata
$IPTABLES -N smtp_in
$IPTABLES -F smtp_in
$IPTABLES -A smtp_in -i $IFACE -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per BITTORRENT in entrata
$IPTABLES -N bittorrent_in
$IPTABLES -F bittorrent_in
$IPTABLES -A bittorrent_in -i $IFACE -p tcp --dport $BITTORRENT_PORTS -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per il bittorrent integrato in mldonkey in entrata:
$IPTABLES -N ml_bittorrent_in
$IPTABLES -F ml_bittorrent_in
$IPTABLES -A ml_bittorrent_in -i $IFACE -p tcp --dport $ML_BITTORRENT -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per MLDONKEY in entrata
$IPTABLES -N mldonkey_in
$IPTABLES -F mldonkey_in
$IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $MLDONKEY_PORT_tcp -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $MLDONKEY_PORT_udp -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $KAD_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $KAD_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_in -i $IFACE -p tcp --dport $OVERNET_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_in -i $IFACE -p udp --dport $OVERNET_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per la GUI di MLDONKEY in entrata
$IPTABLES -N mldonkey_gui
$IPTABLES -F mldonkey_gui
$IPTABLES -A mldonkey_gui -i $IFACE -p tcp --dport 4080 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A mldonkey_gui -i $IFACE -p tcp --dport 4001 -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per GNUTELLA2 in entrata
$IPTABLES -N gnutella2_in
$IPTABLES -F gnutella2_in
$IPTABLES -A gnutella2_in -i $IFACE -p tcp --dport $GNUTELLA2_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A gnutella2_in -i $IFACE -p udp --dport $GNUTELLA2_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per FASTTRACK in entrata
$IPTABLES -N fasttrack_in
$IPTABLES -F fasttrack_in
$IPTABLES -A fasttrack_in -i $IFACE -p tcp --dport $FASTTRACK_PORTS -m state --state NEW,ESTABLISHED -j ACCEPT
#Catena per bloccare ACROREAD in uscita
# $IPTABLES -N no_acroread
# $IPTABLES -F no_acroread
# $IPTABLES -A no_acroread -m owner --cmd-owner acroread -j DROP
#Definisco la catene per intercettare i portscan
#Catena per loggare i portscan
$IPTABLES -N portscan
$IPTABLES -F portscan
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "FW:SCAN:NMAP-XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:XMAS-PSH:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "FW:SCAN:NULL_SCAN:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/RST:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "FW:SCAN:SYN/FIN:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
#Variabili SYS-CTL
#Abilita o disabilita l'IP FORWARDING
#echo "1" > /proc/sys/net/ipv4/ip_forward
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
#DYNAMIC ADDRESSING (utile per il forwarding)
#/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#Non rispondere ai PING
#/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Non rispondere agli ICMP BROADCAST (attacchi smurf)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Disabilita l'accettazione dei REDIRECT
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
#Protezione verso i messaggi di errore ICMP malformati
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#Disabilita i pacchetti source routed (previene dal guardare attraverso il NAT)
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
#Abilita LOG_MARTIANS (effettua il log dei pacchetti strani)
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
for i in /proc/sys/net/ipv4/conf/*; do
/bin/echo "1" > $i/rp_filter
#Applico le catene a INPUT, OUTPUT e FORWARD
#Scarto i pacchetti INVALID
#Applico le catene a INPUT
$IPTABLES -A INPUT -j portscan
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -j icmp_in
$IPTABLES -A INPUT -j connessioni_avviate
#Applico le catene a OUTPUT
# $IPTABLES -A OUTPUT -m state --state INVALID -j DROP
# $IPTABLES -A OUTPUT -j no_acroread
#Applico le catene a FORWARD
$IPTABLES -A FORWARD -j connessioni_avviate
Per poter loggare meglio gli eventi del vostro firewall (specialmente i portscan) potete impostare dei filtri in modo da catturare gli eventi del kernel relativi a queste stringhe:
Se usate syslog-ng e avete in /etc/syslog-ng/syslog-ng.conf questa riga:
Code: | source kernsrc { file("/proc/kmsg"); }; |
allora aggiungete anche queste:
Code: | destination firewall { file("/var/log/firewall.log"); };
filter f_firewall { match ("FW:"); };
log { source(kernsrc); filter(f_firewall); destination(firewall); }; |
in modo da destinare tutti gli eventi del firewall nel file /var/log/firewall.log
Per trovare i portscan basta cercare con grep la stringa "SCAN"
Per trovare i portscan basta cercare con grep la stringa "SCAN"
-John Donne
Last edited by Cazzantonio on Tue May 01, 2007 5:40 pm; edited 34 times in total
Posted: Sun May 22, 2005 6:09 pm Post subject:
Aggiunto ai post utilissimi sezione Tips.
Posted: Sun May 22, 2005 6:15 pm Post subject:
gutter wrote: | Aggiunto ai post utilissimi sezione Tips. |
Esagerato... guarda che è davvero poco più di un copia&incolla
-John Donne |
Posted: Sun May 22, 2005 6:17 pm Post subject:
Cazzantonio wrote: |
Esagerato... guarda che è davvero poco più di un copia&incolla  |
Ma fatto con criterio
Almeno così vediamo se riusciamo a diminuire i post della serie: "Consigli sul mio firewall"  _________________ Registered as User #281564 and Machines #163761 |
Posted: Sun May 22, 2005 7:16 pm Post subject:
gutter wrote: | Cazzantonio wrote: |
Esagerato... guarda che è davvero poco più di un copia&incolla  |
Ma fatto con criterio
Almeno così vediamo se riusciamo a diminuire i post della serie: "Consigli sul mio firewall"  |
seeeeeeeeeei morirai di speranza asd
Posted: Sun May 22, 2005 7:26 pm Post subject:
Grazie Cazzantonio per l'ottimo tip
Posted: Sun May 22, 2005 8:56 pm Post subject:
giusto per completezza, cambierei muro_di_fuoco con porta_tagliafuoco... che sarebbe la traduzione piu' corretta per firewall*.
P.S.: si', lo so... sono un gran rompiballe
* le porte tagliafuoco, ovvero firewall, sono costruzioni utilizzate nei dispositivi antincendio, quando si costruiscono gl'edifici
Coda |
Posted: Sun May 22, 2005 9:06 pm Post subject:
:O spettacolo!!!
piccolo? ... come diceva Yoda il valore di qualunque cosa non deve essere valutata secondo le dimensioni...
io di solito risolvo mettendo in local la chiamata allo script questa soluzione è molto più elegante...
e sopratutto comforme agli "standard" di configrazione e gestione dei serviz...AEHM...DEMONI di Gentoo
veramente GJ e grazie _________________ sono colui che sostiene il reale |
Posted: Sun May 22, 2005 9:11 pm Post subject:
posso essere puntiglioso anche io?
Code: |
non penso che tanti abbiano echo in directory diverse da /bin
è solo per puntigliosità ed eleganza di programmazione... _________________ sono colui che sostiene il reale |
Posted: Sun May 22, 2005 10:40 pm Post subject:
Dal momento che si tratta di uno script bash credo che prima si faccia riferimento ai built-in e quindi è poco probabile che la tua costante sia utile
Posted: Sun May 22, 2005 10:50 pm Post subject:
Code: |
iptables v1.2.11: invalid TCP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.11: invalid TCP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.
* Impostate regole per intercettare i portscan
come mai ? questo quando lancio il demone.
ottimo lavoro ragazzo  _________________ etc-update, da fare sobri, non oltre le 22 e senza pressioni esterne. .:deadhead:. |
Posted: Mon May 23, 2005 9:17 am Post subject:
gionag wrote: | come mai ? questo quando lancio il demone. |
Potrebbe essere un errore da qualche parte visto che nel postarlo ho modificato un paio di voci (per adattarlo ad una configurazione più generica...)
Tuttavia lo script sopra postato a me non da errore...
Code: | star_platinum root # /etc/init.d/pippo start
* Re-caching dependency info (mtimes differ)...
* Caricamento regole del firewall... [ ok ]
star_platinum root # /etc/init.d/pippo stop
* Arresto del firewall (tutte le regole su ACCEPT)... [ ok ] |
Potrebbe essere che ti manca qualche modulo di iptables nella conf dl kernel?
Quote: | ottimo lavoro ragazzo  |
Grazie  _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
Posted: Mon May 23, 2005 9:29 am Post subject:
Visto che stamattina ho più tempo (e che mi pare vi sia piaciuto lo script) vi posto un esempio di regole personalizzate (in realtà sono le mie regole ) da mettere in /etc/conf.d/muro_di_fuoco (liberissimi di chiamarlo porta_tagliafuoco .... basta modificare le voci all'inizio del primo script )

Cambiatele a vostro piacimento
Cambiatele a vostro piacimento
Code: | EDIT
Aggiunto in coda al primo post
_________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Last edited by Cazzantonio on Mon Dec 26, 2005 12:27 am; edited 7 times in total
Posted: Mon May 23, 2005 9:58 am Post subject:
Cazzantonio wrote: | Code: | #######protezione dai PING-FLOOD... da non confondersi con i pink-floyd
$IPTABLES -A icmp_in -p icmp --icmp-type ping -m limit --limit 1/s -j ACCEPT |
ma LOL
Coda |
Posted: Mon May 23, 2005 10:00 am Post subject:
Si ma non è lì evidenziata per fare la battuta idiota... è perché ancora non so se tenerla o eliminarla
-John Donne |
Posted: Tue May 24, 2005 9:49 pm Post subject:
Io aggiungerei anche la possibilita' di loggarsi da ssh sulla interfaccia interna alla rete..
Code: | $IPTABLES -A ssh_in -i $EFACE -p tcp --dport $SSH_PORT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT |
_________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
Posted: Tue May 24, 2005 10:00 pm Post subject:
perchè uno script a parte?
bastava lanciare uno script bash con le sole impostazioni di iptables, quindi /etc/init.d/iptables save e rc-update add iptables boot _________________ That is not dead which can eternal lie,
and with strange aeons even death may die. |
Posted: Wed May 25, 2005 9:25 am Post subject:
neryo wrote: | Io aggiungerei anche la possibilita' di loggarsi da ssh sulla interfaccia interna alla rete.. |
Più che giusto
Non ci avevo pensato perché sono dietro uno switch quindi in realtà la $EFACE non la uso
Uno script di init ti permette anche di dargli dei comandi, tipo star, stop, restart, block_all, save, restore, showstatus .... è più interattivo... Inoltre stampa quei simpatici asterischi verdi e quegli "[OK]" che ci piacciono tanto

In ogni caso è questione di gusti
In ogni caso è questione di gusti  _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
Posted: Wed May 25, 2005 9:46 am Post subject:
Cazzantonio wrote: |
Più che giusto
Non ci avevo pensato perché sono dietro uno switch quindi in realtà la $EFACE non la uso
Ora che ci penso forse e' un settaggio troppo personale che solitamente non fa parte della necessita' della maggior parte degli utenti.. io ho un serverino di front-end e quindi mi serve!!
Fai tu se tenerla o meno.. magari mettigli qualche commento in modo che per i meno esperti capiscano che non serve se sono collegati a uno switch sulla etho e non hanno una eth1..
Ciao _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
Posted: Wed May 25, 2005 10:33 am Post subject:
neryo wrote: | Fai tu se tenerla o meno.. magari mettigli qualche commento in modo che per i meno esperti capiscano che non serve se sono collegati a uno switch sulla etho e non hanno una eth1.. |
In generale lo script deve fornire solo delle regole generiche... per chi vuole regole ad-hoc c'è /etc/conf.d/muro_di_fuoco
In teroria quelle regole ci sono per le persone che non conoscono iptables ma che comunque vorrebbero mettere un firewall minimo sul loro pc _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
Posted: Wed May 25, 2005 1:05 pm Post subject:
Penso c sia un piccolo errore...
Code: | #Disabilita l'IP Spoofing
/bin/echo "2" > /proc/sys/net/ipv4/conf/all/rp_filter |
da sostituire con
Code: | #Disabilita l'IP Spoofing
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter |
Comunque ottimo lavoro...
"Open Source is a good idea..." |
Posted: Wed May 25, 2005 1:09 pm Post subject:
Corretto! Del resto lo dicevo che c'erano sicuramente degli errori
-John Donne |
Posted: Mon Jun 27, 2005 3:31 pm Post subject:
ragazzi, scusate se faccio ri-emergere questo topic... (aprirne un'altro mi sembrava troppo brutto )
ma avrei un paio di dubbi.. riguardo alla mia configurazione di rete..
visto che ho due intefacce virtuali .. come posso impostare il firewall per filtrare anche loro?
vi posto la mia configurazione di rete
Code: |
eth0 Link encap:Ethernet HWaddr 00:0C:76:A0:9F:9B
inet Bcast: Mask:
inet6 addr: fe80::20c:76ff:fea0:9f9b/64 Scope:Link
RX packets:6176395 errors:0 dropped:0 overruns:0 frame:0
TX packets:5315145 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1158118753 (1104.4 Mb) TX bytes:1652664772 (1576.1 Mb)
eth0:1 Link encap:Ethernet HWaddr 00:0C:76:A0:9F:9B
inet Bcast: Mask:
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
eth0:2 Link encap:Ethernet HWaddr 00:0C:76:A0:9F:9B
inet Bcast: Mask:
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
eth1 Link encap:Ethernet HWaddr 00:E0:4C:39:0B:46
inet addr: Bcast: Mask:
inet6 addr: fe80::2e0:4cff:fe39:b46/64 Scope:Link
RX packets:1531528 errors:0 dropped:0 overruns:0 frame:0
TX packets:1101109 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:670031802 (638.9 Mb) TX bytes:1031268363 (983.4 Mb)
Interrupt:18 Base address:0x6f00
lo Link encap:Local Loopback
inet addr: Mask:
inet6 addr: ::1/128 Scope:Host
RX packets:8021647 errors:0 dropped:0 overruns:0 frame:0
TX packets:8021647 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2250184343 (2145.9 Mb) TX bytes:2250184343 (2145.9 Mb)
qualcuno saprebbe mica dove/come indirizzarmi? ho proprio bisogno di una manina

grazie in anticipo!!
grazie in anticipo!!  _________________ Imagination is more important than knowledge.
Albert Einstein |
Posted: Mon Jun 27, 2005 4:26 pm Post subject:
che cosa ci passa da quelle interfacce?
Il modo corretto è scrivere regole per ogni interfaccia... (penso... non ho mai messo un firewall su più di un interfaccia esterna....), altrimenti se non specifichi l'interfaccia da filtrare iptables te le filtra tutte (nel caso dello script sopra devi settare IFACE="") _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
