Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in

  FAQ | Search | Memberlist | Usergroups | Statistics | Profile | Log in to check your private messages | Log in | Register

shorewall
 View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
PostPosted: Mon Mar 28, 2005 12:15 pm    Post subject: Reply with quote
due interfacce di rete che vanno entrambe verso la stessa default route? ma che casino!!!

guarda... questo è il firewall (un pezzo :wink: ) di un gateway per una rete privata. fa routing e un sacco di cose. tutto con 1/3 delle regole che hai postato tu
...e molte di queste sono pure superflue

Quote:
*filter
:INPUT DROP [21657:1801669]
:FORWARD ACCEPT [10764:665093]
:OUTPUT DROP [1047:82489]
:ICMP - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m conntrack --ctorigsrc 224.0.0.0/8 -j DROP
-A INPUT -m conntrack --ctorigsrc 255.255.255.255 -j DROP
-A INPUT -d 224.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 0.0.0.0 -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 -m multiport --dports 25,465 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 37 -j ACCEPT
-A INPUT -i eth0 -p tcp -m conntrack --ctorigsrc 192.149.252.0/24 -m tcp --sport 43 --dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 67:68 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m multiport --sports 80,443,8080 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --sports 110,143,993,995 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 -m multiport --dports 110,143,993,995 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 111 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -p udp -m udp --dport 2049:2050 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -p tcp -m tcp --dport 119 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137:139 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m udp --dport 389 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 389 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p udp -m conntrack --ctorigsrc 192.168.1.0/24 -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -p tcp -m tcp --dport 4899 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6000:6063 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 7000:7010 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p igmp -m conntrack --ctorigsrc !192.168.1.0/24 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -f -m limit --limit 10/min -j LOGDROP
-A FORWARD -i eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED --ctorigsrc 192.168.1.0/24 -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244
PostPosted: Mon Mar 28, 2005 6:58 pm    Post subject: Reply with quote
Ma il problema è che io non sto configurando un PC come gateway ... sto facendo il firewall del mio portatile! 2 interfaccie di rete verso lo stesso gateway non sono una cosa assurda ... è un PC con una scheda ethernet e con una scheda wireless ... e quelle sono le mie interfaccie verso l'esterno! Siccome sul mio portatile vado in giro e mi connetto un po'dappertutto volevo avere un minimo di protezione in più e soprattutto evitare che la gente mi cominciasse a smanettare con i servizi che ho attivi ... Comunque per quanto riguarda shorewall penso che lo butterò nel rudo e cercherò di capire meglio iptables, in quanto con tutte le catene che ha generato non ci capisco più una mazza :lol:
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244
PostPosted: Mon Mar 28, 2005 7:16 pm    Post subject: Reply with quote
Ad ogni modo ho trovato questo wiki abbastanza interessante.
Per ora il mio fantastico firewall ha solo queste regole

Quote:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.2.0/24 anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN
DROP tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN


Edit.... Così è un po meglio ... bello sto firewall :D meglio di niente però :twisted:
Quote:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02
DROP all -- 0.0.0.0/0 0.0.0.0/0

_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
PostPosted: Mon Mar 28, 2005 7:56 pm    Post subject: Reply with quote
Taglia wrote:
Ma il problema è che io non sto configurando un PC come gateway... sto facendo il firewall del mio portatile!

il senso del mio post era appunto questo. per un gateway basta una manciata di regole. per un portatile (che non avrebbe nemmneo bisogno di firewall) permetti a shorewall di fare tutto quel casino?

Taglia wrote:
Siccome sul mio portatile vado in giro e mi connetto un po'dappertutto volevo avere un minimo di protezione in più e soprattutto evitare che la gente mi cominciasse a smanettare con i servizi che ho attivi ...

mi sembra un po' esagerato (o meglio da visionario) pensare che dietro ogni angolo ci sia la tronity di turno che ti fa un sshnuke.
hai attivi solo i servizi che ti servono? i server sono tutti aggiornati? bene, allora non hai nulla da temere anche senza firewall.
vai in giro con SSH v1? puoi metterne anche 12 di firewall, ma la macchina te la sfondano lo stesso.
questo è il succo del discorso.
questo è il mio portatile:
Code:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:778           0.0.0.0:*                  LISTEN
tcp        0      0 127.0.0.1:111           0.0.0.0:*                  LISTEN
tcp        0      0 10.0.0.7:4888           192.167.22.29:22      ESTABLISHED

e NON ho firewall. pensi che io sia vulnerabile? se entri attraverso la rete in un computer conciato così, allora puoi anche andare a pretendere il nobel.
i firewall non aumentano la sicurezza dei sistemi!

Taglia wrote:
Comunque per quanto riguarda shorewall penso che lo butterò nel rudo e cercherò di capire meglio iptables, in quanto con tutte le catene che ha generato non ci capisco più una mazza :lol:

appunto :)
comunque, visto che sei recidivo, vai a dare un'occhiata su netfilter.org. ci sono delle guide fatte molto meglio di quanto chiunque altro non possa spiegarti
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244
PostPosted: Mon Mar 28, 2005 8:31 pm    Post subject: Reply with quote
Paranoico ... non paranoico ... secondo me non c'è nulla di male nell'avviare anche un firewall ... il discorso è: se non fa male attivarlo e ho comunque dei benefici, perchè non attivarlo? Se sono sul balcone e c'è freddo, e posso entrare in casa dove c'è il riscaldamento, e la porta è aperta ... perchè non entrare??

E poi diciamo che sto facendo un corso di protocolli & reti ... e pensavo che approfondire iptables era un buon modo per rendere il tutto più gradevole, imparando anche qualcosa di sicuramente utile :D

Ora il problema è: perchè con queste regole "dopo un po" non mi risolve più i DNS, mi sconnette amsn, insomma devo shutdownare iptables per ripristinare i collegamenti a internet?
(le porte aperte sono ssh e distcc per gli altri PC della lan privata)
Quote:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:3632 flags:0x16/0x02
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
PostPosted: Mon Mar 28, 2005 8:53 pm    Post subject: Reply with quote
[quote="Taglia"]
Ora il problema è: perchè con queste regole "dopo un po" non mi risolve più i DNS, mi sconnette amsn, insomma devo shutdownare iptables per ripristinare i collegamenti a internet?
(le porte aperte sono ssh e distcc per gli altri PC della lan privata)
Quote:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02
ACCEPT tcp -- 192.168.2.0/24 0.0.0.0/0 tcp dpt:3632 flags:0x16/0x02
DROP all -- 0.0.0.0/0 0.0.0.0/0

perché gli hai detto di scartare tutti i pacchetti (riga in grassetto) e policy di default e accetti in ingresso solo le comunicazioni dalle porte 22 e 3632 e solo dalla rete 192.168.2.0/24.
è dura pretendere di poter fare qualcosa in questa condizioni.

suggerimento: per comodità usa "iptables-save": è più leggibile.

prova con qualcosa di questo tipo:

Code:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443,8080 -j ACCEPT
-A INPUT -p tcp -m multiport --sports 110,143,993,995 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT


dagli una controllata... l'ho messo giù in quattro e quattr'otto. ti permette di usare SSH (porta 22) di usare un DNS (porta 53), navigare (80,443,8080), scaricare posta (110,143,993,995), usare samba e cups.

butti tutto in un file e poi fai un "iptables-restore < file"

ma... hai letto le guide su netfilter.org? :wink:
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244
PostPosted: Mon Mar 28, 2005 9:04 pm    Post subject: Reply with quote
Diciamo che sto leggendo più roba "in parallelo", ieri avevo letto quella del packet filtering (sul sito di iptables)... diciamo che la sto assimilando assieme all'agnello :D
Per quanto riguarda le mie regole, certamente sono super restrittive ... ma quello che non mi tornava era la funzionalità "a sprazzi": con regole del genere pensavo che se non fosse funzionato qualcosa, sarebbe avvenuto appena lanciavo iptables e non dopo mezz'ora di funzionamento!!

Ora mi leggo per bene le tue ... del resto mi sembra di essere ad un punto migliore di ieri, quando appena lanciavo iptables crollava la funzionalità di rete :lol:

Grazie comunque per i consigli, molto graditi (soprattutto quello su shorewall ahah)
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
PostPosted: Mon Mar 28, 2005 9:19 pm    Post subject: Reply with quote
Taglia wrote:
Per quanto riguarda le mie regole, certamente sono super restrittive ... ma quello che non mi tornava era la funzionalità "a sprazzi": con regole del genere pensavo che se non fosse funzionato qualcosa, sarebbe avvenuto appena lanciavo iptables e non dopo mezz'ora di funzionamento!!

no. le connessioni devono andare in timeout prima che il programma ti avverta che c'è qualcosa che non va.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Goto page Previous  1, 2
Page 2 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum



 Links: forums.gentoo.org | www.gentoo.org | bugs.gentoo.org | wiki.gentoo.org | forum-mods@gentoo.org

Copyright 2001-2025 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy