| View previous topic :: View next topic |
| Author |
Message |
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
 Posted: Sun Feb 06, 2005 6:23 pm Post subject: shorewall e lopster |
 |
|
Ho subìto delle intrusioni mentre scaricavo da lopster, così mi sono cercato un firewall. Mi hanno consigliato shorewall. Ho mergiato la versione 2.2.0 e ho letto un po' la guida sul sito www.shorewall.net
Ho però dei problemi.
finora ho capito che shorewall dovrebbe configurare iptables, il quale dovrebbe dire al kernel quali pacchetti provenienti dalla rete sono buoni o cattivi. Sono arrivato alla parte del one-interface sample, ho scaricato e sostituito i files aggiornati.
Da questo punto in poi, non so più come procedere 
Preciso che devo proteggere solo il mio computer, e che ho una scheda ethernet che mi mette in comunicazione con la fibra fastweb.
Grazie in anticipo a che mi potrà aiutare 
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
 |
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sun Feb 06, 2005 7:40 pm Post subject: |
|
|
Linka la pagina della configurazione che ti da problemi.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Sun Feb 06, 2005 9:44 pm Post subject: |
|
|
Questa è la pagina che stavo leggendo, come ho detto l'ultima cosa che sono riuscito a fare è stato mettere gli interface samples.
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Feb 07, 2005 9:54 am Post subject: |
|
|
Adesso dimmi che problemi ti da magari pastando un poco un poco di log o errori.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
tuxer
Guru
Joined: 10 May 2004
Posts: 328
|
| Posted: Mon Feb 07, 2005 10:27 am Post subject: |
|
|
Comunque shorewall è un front end per la creazione di firewall con iptables, e se segui la guida per una interfaccia (nel caso di una configurazione semplice), non mi pareva per niente difficile...
Qual è il problema? |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Mon Feb 07, 2005 11:16 pm Post subject: |
|
|
Il problema è che la semplice guida mi crea problemi: non sono molto ferrato in informatica, e non ho mai lavorato su firewall...
| Quote: | If you wish to enable connections from the internet to your firewall and you find an appropriate Allow action in /etc/shorewall/actions.std, the general format of a rule in /etc/shorewall/rules is:
#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
<action> net fw
Example 1. You want to run a Web Server and a POP3 Server on your firewall system:
#ACTION SOURCE DESTINATION PROTO DEST PORT(S)
AllowWeb net fw
AllowPOP3 net fw |
Che vuol dire? Che per poter navigare sul web devo metterci la riga di codice?
| Quote: | | If you are connected to your firewall from the internet, do not issue a shorewall stop command unless you have added an entry for the IP address that you are connected from to /etc/shorewall/routestopped. Also, I don't recommend using shorewall restart; it is better to create an alternate configuration and test it using the shorewall try command. |
Non capisco che cosa voglia dire.
In che caso va modificato il file shorewall.conf ? Per ora so solo che va modificato nel caso in cui voglia far partire il firewall di default.
Una volta finito di smanettare nei files in /etc/shorewall, per farlo partire basta un "shorewall start" ?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Tue Feb 08, 2005 9:15 am Post subject: |
|
|
| GaugeTheory wrote: |
[CUT]
Che vuol dire? Che per poter navigare sul web devo metterci la riga di codice?
|
No, si riferisce al caso in cui tu voglia accettare connessioni dall'esterno (ad esempio se hai un server web sul un pc della tua LAN).
| GaugeTheory wrote: |
[CUT]
Non capisco che cosa voglia dire.
|
Non credo sia un problema che possa riguardarti. Ti spiego in due parole il concetto: supponi di lavorare su una macchina remota che deve essere configurato come firewall, se crei delle regole così "rigide" da non permettere più le connessioni dall'esterno, come fai a connetterci per correggere quest'errore? In tal caso l'unica soluzione è avere accesso fisico alla macchina.
| GaugeTheory wrote: |
Una volta finito di smanettare nei files in /etc/shorewall, per farlo partire basta un "shorewall start" ? |
Si
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Tue Feb 08, 2005 7:18 pm Post subject: |
|
|
Grazie mille 
Chiedo un'ultima cosa:
Ho bisogno che il firewall mi consenti di navigare su internet, che mi possa permettere di scaricare roba su una cartella tipo /a e che infine dia accesso in download-upload a lopster nella cartella /b.
È possibile? Cosa devo settare?
Grazie
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Tue Feb 08, 2005 7:24 pm Post subject: |
|
|
Quello che chiedi dovrebbe farla la conf del link che hai postato.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Tue Feb 08, 2005 9:26 pm Post subject: |
|
|
Conf?? Intendi forse il file /etc/shorewall/shorewall.conf?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Tue Feb 08, 2005 9:33 pm Post subject: |
|
|
| GaugeTheory wrote: | | Conf?? |
Intendevo la guida che stai seguendo.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Wed Feb 09, 2005 12:58 am Post subject: |
|
|
Ci sarà scritto sicuramente, ma non riesco a capirci molto...
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
tuxer
Guru
Joined: 10 May 2004
Posts: 328
|
| Posted: Wed Feb 09, 2005 10:51 am Post subject: |
|
|
| Sinceramente se non sai molto di informatica e meno di firewall shorewall non mi sembra proprio la cosa più adatta, ci sono programmi più semplici che puoi usare... |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Wed Feb 09, 2005 5:22 pm Post subject: |
|
|
Ogni alternativa più semplice è molto ben accetta
Cosa consigli?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Wed Feb 09, 2005 5:56 pm Post subject: |
|
|
| tuxer wrote: | | Sinceramente se non sai molto di informatica e meno di firewall shorewall non mi sembra proprio la cosa più adatta, ci sono programmi più semplici che puoi usare... |
non sono d'accordo.
Con shorewall configurare una singola macchina per l'utilizzo descritto servono circa 1-2 minuti (andando piano)
Imparare ad usarlo in modo basilare e' decisamente semplice con l'ottima documentazione di cui dispone.
Se poi vogliamo parlare di una configurazione avanzata ( con 5-6 zone ) bhe.... allora non c'e' n'e' per nessuno.E' il migliore IMHO
C'e' molta gente che si sente troppo "niubbo" ad usare un tool come shorewall (vuoi mettere? 200-300 righe di iptables e' + semplice  ) ... ma vi assicuro che e' un tool ottimo sia per niubbi che per utenti skilled!
Se hai problemi posta dalla dir /etc/shorewall i file:
interfaces
zones
policy
rules
masq (se devi fare nat)
in linea di massima per utilizzare lopster devi avere una entry in rules in cui dici che accetti il traffico dalla rete sulla porta 6699 (per un funzionamento ottimale)
Ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Thu Feb 10, 2005 12:08 am Post subject: |
|
|
@ xchris: Grazie per i suggerimenti
Interfaces: | Code: | #ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect norfc1918,routefilter,dhcp,tcpflags
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE |
zones: | Code: | #ZONE DISPLAY COMMENTS
net Net Internet
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE |
policy: | Code: | #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
fw net ACCEPT
net all DROP info
# The FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE |
rules: | Code: | #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
ACCEPT net fw icmp 8
ACCEPT fw net icmp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE |
Quanto al file masq, è vuoto, a parte commenti.
È possibile che alcuni servers di lopster usino una porta 8888? Se sì, devo abilitare il traffico anche per quella? Ma cosa devo scrivere in rules? E non c'è un modo di limitare questo traffico solo ad alcune directory?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
tuxer
Guru
Joined: 10 May 2004
Posts: 328
|
| Posted: Thu Feb 10, 2005 12:13 am Post subject: |
|
|
| Quote: |
non sono d'accordo.
Con shorewall configurare una singola macchina per l'utilizzo descritto servono circa 1-2 minuti (andando piano)
|
Premettendo che non mi è mai piaciuto usare cose senza sapere come funzionano,certo sono d'accordo anche io, quello che voglio dire è che shorewall ti mette a diretto contatto con iptables, perciò è consigliato sapere per lo meno come funziona, altrimenti è meglio usare altro... |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Feb 10, 2005 8:33 am Post subject: |
|
|
| tuxer wrote: |
Premettendo che non mi è mai piaciuto usare cose senza sapere come funzionano,certo sono d'accordo anche io, quello che voglio dire è che shorewall ti mette a diretto contatto con iptables, perciò è consigliato sapere per lo meno come funziona, altrimenti è meglio usare altro... |
si e no...
Se vogliamo Linux come desktop dobbiamo pure accettare che alcuni utenti utilizzino un firewall senza conoscerne ogni aspetto.
(anche perche' una conoscenza approfondita di iptables richiede moooolto tempo)
Ho visto spesso molti utenti "principianti" utilizzare degli script di iptables completamente bucati.Con shorewall questo non sarebbe mai successo!
Il punto e': cosa vuoi dal tuo pc? cosa vuoi che faccia per te?
Alcuni potrebbero dire: imparare,imparare (molti di noi immagino)
Altri potrebbero dire.....usarlo senza panico e troppi sbattimenti.
Per quanto riguarda il firewall GaugeTheory sei quasi a posto.
Io in genere non amo neanche icmp sul mio PC e non lo permetto.
Ti manca una regola in Rules per utilizzare al 100% Lopster.
(anche cosi' funziona ma ci saranno casi in cui non potrai scaricare)
Agggiungi in Rules
ACCEPT net fw tcp 6699
La porta 8888 e' lo standard di connessione ai server opennap. (e le tue regole gia' lo consentono...perche' in uscita non hai limiti)
La porta 6699 e' quella che viene aperta sul tuo PC da lopster durante i download. (discorso un po' complesso a dire il vero - dipende dai casi) e quindi e' bene lasciarla aperta.
Ciao
EDIT:la regola:"ACCEPT fw net icmp" e' inutile perche' la policy "fw net ACCEPT" gia' lo permette!
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Tùrin_Mormegil
Guru
Joined: 21 Sep 2004
Posts: 478
Location: Gorizia - Milano
|
| Posted: Thu Feb 10, 2005 10:02 am Post subject: |
|
|
dai un'occhiata a kmyfirewall, veramente banale da configurare, ma permette di settare iptables benissimo a utenti che di iptables non sanno niente.
_________________
Как я рад! |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Thu Feb 10, 2005 6:21 pm Post subject: |
|
|
| xchris wrote: |
Io in genere non amo neanche icmp sul mio PC e non lo permetto. |
Cosa usi al suo posto? Qual'è la differenza?
Grazie per i suggerimenti
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Thu Feb 10, 2005 7:16 pm Post subject: |
|
|
| GaugeTheory wrote: |
Cosa usi al suo posto? |
Penso niente
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Feb 10, 2005 8:27 pm Post subject: |
|
|
blindato! 
_________________
while True:Gentoo() |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Thu Feb 10, 2005 8:40 pm Post subject: |
|
|
Dunque mi consigliate di togliere quella riga di codice...
Questo potrebbe limitare i downloads e/o lopster?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Feb 11, 2005 8:10 am Post subject: |
|
|
se togli quella di ICMP assolutamente no!
ricordati di accettare connessioni sulla 6699 e controlla che Lopster sia configurato proprio per accettare connessioni sulla 6699. (la 8888 del server e' un altro discorso....)
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
GaugeTheory
Apprentice
Joined: 03 Oct 2004
Posts: 212
Location: Genoa, Italy
|
| Posted: Fri Feb 11, 2005 9:25 am Post subject: |
|
|
L'unico posto in cui lopster mi visualizza delle porte è il socket browser. Si tratta di un elenco di server (suppongo i server attivi al momento) con tanto di IP e porta. Tra le porte che compaiono vedo:
8888; 20000; 8887; 6667; 3456; 7777; 30000; 7654; 8874; 5678; 6969; 3555 e potrei ancora continuare...
Vuol dire che per permettere il download da quei server dovrei creare delle rules per tutte queste porte?
_________________
Considerate la vostra semenza:.................Consider your seed:
Fatti non foste a viver come bruti,.............You weren't made to live like brutes,
Ma per seguir virtute e conoscenza..........But to follow wisdom and knowledge.
(Dante Alighieri) |
|
| Back to top |
|
|
|
Forum italiano (Italian)
