iptables regole

[rota]

ciao a tutti vorrei poter migliorare questo script ...di iptables...

#!/bin/sh
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/255.255.255.0 -j MASQUERADE
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j REJECT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


o bisogno di cualche buon consiglio per rendere sicuro il serrver ecc..

o bisogno sopratutto di chiudere tutte le porte tranne la prta http quella diu posta ( entrata uscita ) quella di telenet ssh
vorrei fare in nmodo che se uno pinga per esempio o fa cualsia altra cosa su una porta venga reinderizzato su unaltra porta o meghliuo su nul ( spero che si dica cosi )

io non o seprienzza sulla sicurezza di iptables ecc perrcio accetto cualsiasi consiglio ....

[xchris]

il miglior consiglio che posso darti e' quello di studiarti uno script gia' esistente (in rete ce ne sono molti).
Studi a fondo il funzionamento e entri nella logica di iptables.
(potrai cosi' scrivertene uno ad hoc)

Se il tuo scopo e' invece solo quello di "renderlo sicuro" senza troppe complicazioni ti consiglio di installare shorewall. (ne esistono altri...ma a mio avviso questo non ha rivali)

Ciao
_________________
while True:Gentoo()

[randomaze]

[rota]

io o trovato su http://ilpettegolo.altervista.org/Linux-firewall-when-why-3.html du regole


iptables -t filter -A INPUT -p udp --dport 0:1023 -i ppp0 -j REJECT
iptables -t filter -A INPUT -p tcp --syn --dport 0:1023 -i ppp0 -j REJECT

pero non o capito cosa faccia ...non o capito se chiude tutte le porte tranne quelle che vanno da 0:1023 ..
sapete come fare per mandare un messagio di erore a chi tenta un acesso alle porte privilegiate???

[xchris]

attenzione perche' ssh e http sono sotto la 1024.
Quelle regole bloccano il traffico sotto la 1024.

Non puoi mandargli un messaggio di errore.
Semplicemente non potranno accedervi (sempre poi che ci siano dei servizi sulla macchina)

Al massimo puoi loggare questi tentativi.
Ti ri-consiglio di leggere una guida.
Quella suggerita da randomaze mi sembra ben fatta.

ciao
_________________
while True:Gentoo()

[rota]

la sto leggendo ...
prima che mi dimentico ..io voglio che tutto sia chiuso tranne alcune porte ..pero cuesto solo dall'seterno ....non so se sono chiaro ....


m...

da cuello che io o capito per chiudere tutto tranne che ne so la porta ftp

devo fare cosi

iptables -A INPUT -p tcp --dport 23 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 0:65536 --syn -j DROP

io se o capito bene la regola

iptables -A INPUT -p tcp --dport 23 --syn -j ACCEPT

mi dice che tutti i servizzi tcp sono blocati tranne ftp cioe la porta 23

ma non o capito bene
iptables -A INPUT -p tcp --dport 0:65536 --syn -j DROP

a cosa serva


com o letto anche che se voglio blloccare tutto basta ...
iptables -A INPUT -p tcp -s ! localhost --dport 0:65536 --syn -j DROP

pero non creddo che mi convenga sta soluzzioe ..vero ????

[rota]

m e se uso sta regola ..
iptables -A INPUT -p tcp -s ! localhost --dport 0:65536 --syn -j DROP

e poi ne faccio unaltra dove gli dico che porte devono essere aperte ???

visot che sono pochi i servizzi mi sa che mi conviene no?=??

[rota]

xchris
cosa mi dicevi di queste 2 regole ??'
iptables -t filter -A INPUT -p udp --dport 0:1023 -i ppp0 -j REJECT
iptables -t filter -A INPUT -p tcp --syn --dport 0:1023 -i ppp0 -j REJECT

se o capito bene devo fare cosi ???

iptables -t filter -A INPUT -p udp --dport 200:1023 -i ppp0 -j REJECT
iptables -t filter -A INPUT -p tcp --syn --dport 200:1023 -i ppp0 -j REJECT

cosi facendo io blocco tutte le porte tcp che vanno da 200 a 1023 .. pensi che cosi vadda meglio ???'

[rota]

pero una cosa non e chwe o problemi con udp se blocco la porta sbagliata non e che faccio casini con il DNS ??

[rota]

io pensavo di fare cosi

iptables -A INPUT -p tcp --destination-port 25 80 -i ppp0 -j DROP

in questo modo si chiude tutto dall'esterno tranne le porte 25 e 80

puo andare oppure no??'

[rota]

ao io o provato pero non mi funge niente ma come ùsi fa a chiudere tutte le porte tranne la 25 110 22

io o letto la guida che tu mi ai detto di leggere ma e una ciofecha non mi aiuta per niente ...

[rota]

[Manuelixm]

Prova sugli appunti di informatica libera, li trovi on line, fai una ricerca in google.

[comio]

allora vuoi chiudere tranne la 25 la Y e la Z... fai cosi:

apri 25
apri Y
apri Z
chiudi tutto

le chain vengono analizzate dalla prima regola all'ultima, quindi prima vengono controllate le regole che aprono e poi il default che è chiudere

ciao
_________________
RTFM!!!!

e

http://www.comio.it

[rota]

scusama none chiaro ??'se mi scrivi laregola la regola la capisco meglio

[comio]

Per esempio:

[rota]

percio lo script diventerebbe cosi ...


#!/bin/sh
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/255.255.255.0 -j MASQUERADE
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j REJECT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -A INPUT --dport 25 -j ACCEPT
iptables -A INPUT --dport Y -j ACCEPT
...
iptables -A INPUT -j DROP


e cosi mi chiude tutte le porte?? tranne la25 e la Y ???'

[comio]

in ingresso si... poi bisogna vedere cosa c'è intorno...

ragzzi usate iptables-save e iptables-restore... sono tools fantastici
(gusti personali imho...)

ciao
_________________
RTFM!!!!

e

http://www.comio.it

[rota]

csa vuol dire

"in ingresso si... poi bisogna vedere cosa c'è intorno... ""

vabbe pero cuello che io o scritto se o capito bene mi permette di aprire le porte che iovoglio edi chiudermi tutte le altre ??

a dimenticavo per non avere prob col dns dhcp chedevo fare ?????

[xchris]

[rota]

sto legendo sto legendo...grazzie del vostro aiuto

[rota]

o provato a eseguire sta regfola ma inutile non accetta --dport

iptables -A INPUT --dport 25 -j ACCEPT
iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

[rota]

iptables -A INPUT -p tcp -i eth1 --dport 110 -j ACCEPT

cosi la accetta ....

pero io facci

nmap -sT localhost

mi vede sempre cueste porte aperte

nmap -sT 192.168.0.1

Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-10-27 10:53 UTC
Interesting ports on 192.168.0.1:
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
68/tcp open dhcpclient
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp

[Manuelixm]

Prova specificando il protocollo. così:

[rota]

una cosa non lo cpaita ma

che differenza ce tra --dport e --sport ???

esempio

/sbin/iptables -A INPUT -i eth0 -p TCP --dport 22 -s $GW2 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p TCP --sport 22 -d $GW1 -j ACCEPT