| View previous topic :: View next topic |
| Author |
Message |
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
 Posted: Sat Mar 26, 2005 4:36 am Post subject: shorewall |
 |
|
ciao a tutti ... è tutta la notte che sto provando shorewal
allora io o un macchina ...dovve eth0 va diretta a fastweb....
la macchina a solo una interfaccia di rete...
questa macchina devve fare da web server ( apache ....)
siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina....
spero che me la lasciate andare (sapiamo tutti che è poco sicuro sta vonfigurazzione pero ...me tocca fare cosi ...tanto è il mio server beta cioè dovve ci faccio le provve ..... )
allora io o impostato il file | Quote: | | /etc/shorewall/rules.gz |
in questo modo...
2 cose che non o capito :
1) che diferenzza cè tra
è
se o capito bene devvo fare riferimento a questo...( o apena letto sta cosa ..http://www.shorewall.net/Documentation.htm#Zones )
| Quote: | #ZONE DISPLAY COMMENTS
net Net Internet
loc Local Local networks
dmz DMZ Demilitarized zone
|
percio se voglio che il server comunichi con l'esterno devvo fare cosi...
2) se capito bene devo editare il file /usr/share/shorewall/action.AllowWeb
in questo modo ...
| Quote: |
ACCEPT fw net tcp 80
ACCEPT fw net tcp 443
|
oppure devvo editarlo ( sto parlando sempre di " ACCEPT fw net tcp 80 ")
nel file :
| Quote: |
/etc/shorewall/rules.gz |
poi una cosa che mi stavo chiedendo ....ma tutto cio che non scrivvo in questo file /etc/shorewall/rules.gz cosa ducedde ??? chiude i servizzi..o cosa??
se sto sbagliando ...allora come faccio a chiudere le porte ecc ??javascript:emoticon('')
perche se esiste l'opzione AllowDNS devve eserci anche un DennyDNS NO ????
quello che non mi è chiaro ...se io voglio fare un web server bsta che metto sta riga e shorewal mi creea tutte le regole ???
Example 3. Web Server on Firewall
You want to run a Web Server on your firewall system:
#ACTION SOURCE DEST PROTO DEST PORT(S)
AllowWeb net fw
AllowWeb loc fw
non o capito perche fà sta cosa....
o altre cose da chiare pero prima spiegateme sta cosa per favore ..perche non mi èchiara...... |
|
| Back to top |
|
 |
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Sat Mar 26, 2005 7:07 pm Post subject: |
|
|
o fatto un casino.....
o editato il file /etc/shorewal/rules in questo modo
| Quote: | # bloccare l'host con indirizzo 1.2.3.4 perche' non e' gradito.
#DROP net:1.2.3.4/32 fw
#accettare connessioni sulle porte TCP
ACCEPT net fw tcp 80
ACCEPT net fw tcp 443
#accesso alle porte
#ACCEPT net:192.168.0.1/10 fw tcp 22 |
se faccio shorewall start
non vaddo piu su internet....
non riesco manco a pingare
posto anche il file
/etc/shorewall/policy
| Quote: |
fw net ACCEPT
net all DROP info
all all REJECT info
|
|
|
| Back to top |
|
|
.:deadhead:.
Advocate
Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy
|
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Sat Mar 26, 2005 10:46 pm Post subject: |
|
|
gial letta...o seguito propio quella guida...
m...o resetato tutte le conf ...
come prima cosa o editato
ZONES
in questo modo ...
net Net Internet
soloche quando faccio partire shorewal mi dàquesto erorre....
Error: No appropriate chain for zone fw to zone net
Terminated
io o fastweb e il pc in questione sta colegato fisicamente afastweb senzza essere parte di una rete
avevo sbagliato a scrivere......nell file ZONES perche avevo fatto copia incolla e mi aveva creeato dei spazzi ....
adesso o seguito la guida pero niente mi blocca tutto ..... |
|
| Back to top |
|
|
arnor
Tux's lil' helper
Joined: 01 Nov 2004
Posts: 147
|
| Posted: Sun Mar 27, 2005 8:30 pm Post subject: |
|
|
ciao rota,
a mio avviso hai fatto un po' di casino con i file di shorewall. fai un reset e ricomincia dall'inizio tenendo presente:
1) creare la zona net (togliere il commento) /etc/shorewall/zones
2) andare in /etc/shorewall/policy e verificare che tutto quello che arriva dall'esterno (net) venga DROPPATO
3) aggiungere il concetto che da "fw" a "net" le connessioni sono accettate (io metto tutte solitamente)
3) modificare le rules aprendo le porte che interessano
4) shorewall check per verificare che le regole siano formalmente corette
ciao Lorenzo
ps. Purtroppo ora sono su win e non posso girarti i conf. |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sun Mar 27, 2005 8:39 pm Post subject: |
|
|
uhm... secondo me è più semplice usare iptables, soprattutto in un caso come questo, in cui si ha da gestire una quantità ridicola di connessioni.
quello che non mi è chiaro, però, è perché tu voglia assolutamente mettere un firewall, se, come dici, questa è l'unica macchina di cui disponi:
| Quote: | | siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina... |
se non devi fare routing per una rete privata, del firewall te ne puoi anche fregare alla grande... |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Sun Mar 27, 2005 8:59 pm Post subject: |
|
|
 come perche ???
vabbe....
comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un motivo serio....
è mi sto imparando sia iptables che altri firewall tutto qui ...piu se ne sà meglio no???
linux è sicuro solo se lo rendi tale ..... |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sun Mar 27, 2005 9:07 pm Post subject: |
|
|
| rota wrote: | comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un motivo serio....
è mi sto imparando sia iptables che altri firewall tutto qui ...piu se ne sà meglio no???
linux è sicuro solo se lo rendi tale ..... |
ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...
secondo te che perché dovrebbe esserciun firewall su una macchina?
esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.
non ha alcun senso un firewall che ti chiuda delle porta che sono già chiuse. ha senso invece se tramite il firewall fai routing per una sottorete, o fai il mangling dei pacchetti, o fai un filtraggio sugli ICMP.
la prima opzione non ti serve (se non ho capito male) se altre due, a meno che non mi sbagli, shorewall non le fa, ma ti devi comunque appoggiare a iptables.
in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti". |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sun Mar 27, 2005 10:44 pm Post subject: |
|
|
| k.gothmog wrote: |
ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...
secondo te che perché dovrebbe esserciun firewall su una macchina?
|
Un firewall non "da sicurezza" dal momento che non esiste la sicurezza in termini assolutistici. Ma possiamo sicuramente affermare che contribuisce ad aumentare la sicurezza di una macchina.
| k.gothmog wrote: |
esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.
|
X ad esempio l'hai dimenticato?!?
| k.gothmog wrote: |
in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti". |
Ecco l'unica cosa in quello che hai detto con cui concordo
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sun Mar 27, 2005 11:21 pm Post subject: |
|
|
| gutter wrote: | | X ad esempio l'hai dimenticato?!? |
no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.
toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.
se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...
| gutter wrote: | | Ecco l'unica cosa in quello che hai detto con cui concordo |
 non capisco... perché non ti trovi d'accordo? |
|
| Back to top |
|
|
quantumwire
Guru
Joined: 15 Oct 2003
Posts: 403
Location: Lausanne
|
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 12:26 am Post subject: |
|
|
| quantumwire wrote: | | Ragazzi... io mi sono impallato molto prima ovvero non so quali moduli devo compilare nel kernel per Shorewall... |
i soliti moduli che fanno parte del pacchetto netfilter. tutti quelli che trovi nel menu "packet filtering" o qualcosa di simile.
accetta però un consiglio: tentare di usare shorewall senza conoscere iptables è difficile e controproducente. dedicati prima a iptables  |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Mon Mar 28, 2005 12:50 am Post subject: |
|
|
m....squsa allora io fino adesso non cio capito niente....di firewall
allora a che servve il firewall ??
come mi difendo dallo spoffing e atacchi simili ????
mi state dicendo che non o bisogno di firewall???
è quando ne o bisogno ?????
e poi squsa ma se non uso il firewall come le chiudo le porte ???
sia per linux che per windows..... io se ricordo bene il firewall servve per chidere le porte no????
m..pero mo che ci penso se io non attivo nessun servizzio ...automaticamente non apro nessuna porta.....
pero perche per windows diverso ?????
squste se parlo del nemico..solo che non ci sto capendo piu niente... |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 8:14 am Post subject: |
|
|
| Quote: | | allora a che servve il firewall ?? |
per come la vedo io, un firewall è superfluo su una macchina che non esporta servizi (quando non ho installato nessun server, insomma) e che non fa routing
| Quote: | | come mi difendo dallo spoffing e atacchi simili ???? |
parli di IP spoofing? ARP spoofing? ARP poisoning? MITM (Man In The MIddle)?
sei realmente convinto che un firewall possa difenderti da questo genere di attacchi? un firewall effettua solo un controllo sul traffico. fa passare quello che tu gli dici di far passare. non ti protegge da attacchi di questo tipo. al massimo (ma impegnandosi) potresti evitare ALCUNE tipologie di DoS (Denial of Service)
| Quote: | | e poi squsa ma se non uso il firewall come le chiudo le porte ??? |
quali porte? se non hai installato server sulla tua macchina le porte sono già chiuse per conto loro. se invece un server ce l'hai installato, le porte le devi aprire per forza:
| Code: | telnet localhost 80
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused |
come puoi vedere non ho bisogno di chiudere la porta 80 sulla mia macchina, perché è già chiusa.
| Quote: | | sia per linux che per windows..... io se ricordo bene il firewall servve per chidere le porte no???? |
quelle che sono già aperte
| Quote: | | m..pero mo che ci penso se io non attivo nessun servizzio ...automaticamente non apro nessuna porta..... |
appunto vedi che ci capiamo
| Quote: | | pero perche per windows diverso ????? |
windows ha un sacco di servizi attivi per default, e il solo netbios è un colabrodo. più che sufficiente per violare il sistema.
quello è un altro discorso. windows non può stare senza un personal firewall
| Quote: | mi state dicendo che non o bisogno di firewall???
E quando ne o bisogno ????? |
io ti sto dando un mio parere personale. quando non è indispensabile, ne faccio a meno. significa avere meno roba da manutenere e meno servizi attivi...
io preferisco usarlo quando ho bisogno di fare routing (il masquerading e il NAT li faccio tramite il firewall), quando voglio realizzare un buon filtraggio ICMP, o quando voglio il packet mangling, ma a parte la prima non sono soluzioni che si usano spesso, e non è nemmeno semplice implementarle.
io ti ho riportato un parere. io non l'ho implementato né a casa, né sul portatile (ovviamente), e nemmeno sui server in produzione... ne ho due senza firewall... non mi serve |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Mar 28, 2005 8:15 am Post subject: |
|
|
| k.gothmog wrote: | | gutter wrote: | | X ad esempio l'hai dimenticato?!? |
no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.
|
Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000.
| k.gothmog wrote: |
toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.
|
Hai detto bene, teoricamente Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema.
| k.gothmog wrote: |
se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...
|
Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.
P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare un qualunque flame
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 8:24 am Post subject: |
|
|
| Code: | | Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000. |
davvero? sai che è una cosa a cui non ho mai fatto caso? oggi faccio un esperimento
| Quote: | | Hai detto bene, teoricamente Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema. |
ma vedi... è proprio questo che non va secondo me: la convinzione che un firewall dia un aumento di sicurezza. io non vedo come questo sia possibile, nel momento in cui dico al firewall di chiudere porte che lo sono già di per sè...
in questo caso il firewall appare solo come una seccatura: un posto in più dove mettere le mani quella volta che decido di fare qualche prova con i servizi esportati
| Quote: | | Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost. |
uhm... non è il più felice degli esempi che potessi fare 
| Quote: | | P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare una qualunque flame |
ma ci mancherebbe... anzi... sarebbe bello magari radunare diverse opinioni e mettere insieme un qualcosa che porti un po' di luce, visto che sembra ci sia tanta confusione sull'argomento |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Mar 28, 2005 8:31 am Post subject: |
|
|
| k.gothmog wrote: |
| Quote: | | Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost. |
uhm... non è il più felice degli esempi che potessi fare
|
Letto così non esprime la mia opinione
Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 8:41 am Post subject: |
|
|
| gutter wrote: | | Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale. |
beh... su questo siamo d'accordo. però in un contesto "normale" sarebbero aperte solo le porte di pochissimi servizi e teoricamente dovrebbero essere tutte su localhost
| Quote: | netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:989 0.0.0.0:* LISTEN |
avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 8:56 am Post subject: |
|
|
| k.gothmog wrote: | | avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché |
mistero risolto!
in /etc/X11/gdm/gdm.conf è sufficiente impostare al direttiva DisallowTCP a "false" e non viene più aperta la porta 6000 |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Mon Mar 28, 2005 9:11 am Post subject: |
|
|
Vedi, k.gothmog, io sono d'acordo con quanto detto da gutter.
Hai ragione per quanto riguarda il fatto che il firewall ti chiude delle porte che, effettivamente, sono gia' chiuse.
E' anche vero che, non mettendo il firewall per questo motivo, ogni volta che lanci un qualsiasi programma (che sia un client, un server, un demone, un'interfaccia grafica, un wm, un gioco..... qualsiasi cosa) dovreisti testare che effettivamente non ti viene aperto nulla.
E visto che la sicurezza non e' cosa con cui scherzare ultimamente, io, personalmente, preferisco "chiudere tutto a chiave e spendere 5 minuti in piu' quando devo aprire una porta che lasciarle tutte accostate per poi doverle controllare ogni 2 giorni".
Quindi, sicuramente e' una cosa soggettiva (si puo' preferire avere una cosa in meno da configurare e avere qualcosa di incerto che viceversa)..... io credo che su un server (e che deve rimanere sicuro) e' sempre meglio installare un firewall e inserire come prima cosa un blocco totale in entrate ed in uscita di tutte le porte; dopodiche' inizio ad aprire quello che mi serve!
Come dice gutter, la reale sicurezza non esiste, ma mettere qualcosa in piu' non puo' fare che bene!
Ovviamente tutto IMHO
Ciriciao
mouser |
|
| Back to top |
|
|
Taglia
Apprentice
Joined: 05 Nov 2004
Posts: 244
|
| Posted: Mon Mar 28, 2005 9:54 am Post subject: |
|
|
Io ieri mi sono messo in testa di imparare a usare IPTABLES ... ma siccome con me gli approcci a forza bruta non funzionano ho pensato di installare Shorewall e poi vedere che regole impostava in iptables per realizzare quello che chiedevo. Tuttavia non ho ben capito una cosa. La mia rete è così disposta
Ho un router che fa da modem adsl e si connette ad internet. Poi ho una lan privata con 4 PC che si collegano ad internet via router. Al router è connesso anche un access point wireless ... per cui diciamo che ogni pc ha eth0 ed eth1 con cui si connette sia agli altri pc sia al router.
A questo punto leggendo le guide ho impostato i vari files di configurazione in questo modo (su uno dei PC collegati a questa rete, dato che ho diversi servizi aperti volevo fare un po di protezione assicurandomi che fossero raggiungibili solo dai PC della lan privata e non dall'esterno salvo eccezioni).
/etc/shorewall/interfaces
| Quote: |
#ZONE INTERFACE BROADCAST OPTIONS
- eth0 detect dhcp,nosmurfs
- eth1 detect dhcp,nosmurfs
|
(In quanto le due interfaccie sono collegate sia a net che a loc
/etc/shorewall/hosts
| Quote: |
loc eth0:ip_delle_macchine_locale
loc eth1:ip_delle_macchine_locali
net eth0:ip_del_router
net eth1:ip_del_router
|
/etc/shorewall/policy
| Quote: |
#SOURCE DEST POLICY LOG LIMIT:BURST
#
fw net ACCEPT
fw loc ACCEPT
loc fw ACCEPT info
net all DROP info
all all REJECT innfo
|
E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)
Perchè se attivo il firewall invece blocca tutto il traffico?[/quote]
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 10:10 am Post subject: |
|
|
| Taglia wrote: | E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)
Perchè se attivo il firewall invece blocca tutto il traffico? |
posta l'output di "iptables-save" e "iptables-save -t nat"
(non puoi pretendere di usare shorewall se non impari prima iptables) |
|
| Back to top |
|
|
Taglia
Apprentice
Joined: 05 Nov 2004
Posts: 244
|
| Posted: Mon Mar 28, 2005 11:39 am Post subject: |
|
|
iptables-save
| Quote: |
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*nat
:PREROUTING ACCEPT [2:660]
:POSTROUTING ACCEPT [11:667]
:OUTPUT ACCEPT [11:667]
COMMIT
# Completed on Mon Mar 28 13:36:33 2005
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*mangle
:PREROUTING ACCEPT [393:392854]
:INPUT ACCEPT [392:392278]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [301:29957]
:POSTROUTING ACCEPT [298:29786]
:outtos - [0:0]
:pretos - [0:0]
-A PREROUTING -j pretos
-A OUTPUT -j outtos
-A outtos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A outtos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
COMMIT
# Completed on Mon Mar 28 13:36:33 2005
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:DropDNSrep - [0:0]
:DropSMB - [0:0]
:DropUPnP - [0:0]
:Reject - [0:0]
:RejectAuth - [0:0]
:RejectSMB - [0:0]
:all2all - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:icmpdef - [0:0]
:loc2fw - [0:0]
:loc_frwd - [0:0]
:net2all - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -j Reject
-A INPUT -m limit --limit 10/min -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -j Reject
-A FORWARD -m limit --limit 10/min -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ! icmp -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -d 192.168.2.1 -o eth0 -j fw2net
-A OUTPUT -d 192.168.2.1 -o eth1 -j fw2net
-A OUTPUT -d 192.168.2.7 -o eth0 -j fw2loc
-A OUTPUT -d 192.168.2.7 -o eth1 -j fw2loc
-A OUTPUT -d 192.168.2.3 -o eth0 -j fw2loc
-A OUTPUT -d 192.168.2.3 -o eth1 -j fw2loc
-A OUTPUT -j Reject
-A OUTPUT -m limit --limit 10/min -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -j RejectAuth
-A Drop -j dropBcast
-A Drop -j dropInvalid
-A Drop -j DropSMB
-A Drop -j DropUPnP
-A Drop -j dropNotSyn
-A Drop -j DropDNSrep
-A DropDNSrep -p udp -m udp --sport 53 -j DROP
-A DropSMB -p udp -m udp --dport 135 -j DROP
-A DropSMB -p udp -m udp --dport 137:139 -j DROP
-A DropSMB -p udp -m udp --dport 445 -j DROP
-A DropSMB -p tcp -m tcp --dport 135 -j DROP
-A DropSMB -p tcp -m tcp --dport 139 -j DROP
-A DropSMB -p tcp -m tcp --dport 445 -j DROP
-A DropUPnP -p udp -m udp --dport 1900 -j DROP
-A Reject -j RejectAuth
-A Reject -j dropBcast
-A Reject -j dropInvalid
-A Reject -j RejectSMB
-A Reject -j DropUPnP
-A Reject -j dropNotSyn
-A Reject -j DropDNSrep
-A RejectAuth -p tcp -m tcp --dport 113 -j reject
-A RejectSMB -p udp -m udp --dport 135 -j reject
-A RejectSMB -p udp -m udp --dport 137:139 -j reject
-A RejectSMB -p udp -m udp --dport 445 -j reject
-A RejectSMB -p tcp -m tcp --dport 135 -j reject
-A RejectSMB -p tcp -m tcp --dport 139 -j reject
-A RejectSMB -p tcp -m tcp --dport 445 -j reject
-A all2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2all -j Reject
-A all2all -m limit --limit 10/min -j LOG --log-prefix "Shorewall:all2all:REJECT:" --log-level 6
-A all2all -j reject
-A dropBcast -m pkttype --pkt-type broadcast -j DROP
-A dropBcast -m pkttype --pkt-type multicast -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -m state --state NEW -j smurfs
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.1 -o eth1 -j ACCEPT
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth0 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth1 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth0 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth1 -j net2all
-A eth0_fwd -s 192.168.2.7 -j loc_frwd
-A eth0_fwd -s 192.168.2.3 -j loc_frwd
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -m state --state NEW -j smurfs
-A eth0_in -p udp -m udp --dport 67:68 -j ACCEPT
-A eth0_in -s 192.168.2.1 -j net2all
-A eth0_in -s 192.168.2.7 -j loc2fw
-A eth0_in -s 192.168.2.3 -j loc2fw
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -m state --state NEW -j smurfs
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.1 -o eth0 -j ACCEPT
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth0 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth1 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth0 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth1 -j net2all
-A eth1_fwd -s 192.168.2.7 -j loc_frwd
-A eth1_fwd -s 192.168.2.3 -j loc_frwd
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -m state --state NEW -j smurfs
-A eth1_in -p udp -m udp --dport 67:68 -j ACCEPT
-A eth1_in -s 192.168.2.1 -j net2all
-A eth1_in -s 192.168.2.7 -j loc2fw
-A eth1_in -s 192.168.2.3 -j loc2fw
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -p tcp -m tcp --dport 80 -j ACCEPT
-A fw2net -p udp -m udp --dport 80 -j ACCEPT
-A fw2net -p tcp -m tcp --dport 53 -j ACCEPT
-A fw2net -j ACCEPT
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -m limit --limit 10/min -j LOG --log-prefix "Shorewall:loc2fw:ACCEPT:" --log-level 6
-A loc2fw -j ACCEPT
-A loc_frwd -d 192.168.2.1 -o eth0 -j all2all
-A loc_frwd -d 192.168.2.1 -o eth1 -j all2all
-A loc_frwd -d 192.168.2.7 -o eth0 -j ACCEPT
-A loc_frwd -d 192.168.2.7 -o eth1 -j ACCEPT
-A loc_frwd -d 192.168.2.3 -o eth0 -j ACCEPT
-A loc_frwd -d 192.168.2.3 -o eth1 -j ACCEPT
-A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2all -j Drop
-A net2all -m limit --limit 10/min -j LOG --log-prefix "Shorewall:net2all:DROP:" --log-level 6
-A net2all -j DROP
-A reject -m pkttype --pkt-type broadcast -j DROP
-A reject -m pkttype --pkt-type multicast -j DROP
-A reject -s 255.255.255.255 -j DROP
-A reject -s 255.255.255.255 -j DROP
-A reject -s 224.0.0.0/240.0.0.0 -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 255.255.255.255 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255 -j DROP
-A smurfs -s 255.255.255.255 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255 -j DROP
-A smurfs -s 224.0.0.0/240.0.0.0 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/240.0.0.0 -j DROP
COMMIT
# Completed on Mon Mar 28 13:36:33 2005
|
iptables-save -t nat
| Quote: |
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:37:26 2005
*nat
:PREROUTING ACCEPT [2:660]
:POSTROUTING ACCEPT [13:747]
:OUTPUT ACCEPT [13:787]
COMMIT
# Completed on Mon Mar 28 13:37:26 2005
|
Per quanto riguarda l'apprendimento ... ecco sto cercando di imparare le due cose "in parallelo"
Ieri mi sono smazzato metà degli howto's su netfilter.org ... probabilmente il mio cervello è un po'ottenebrato dai pasti delle festività e non rende al 100% 
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Mar 28, 2005 11:53 am Post subject: |
|
|
allucinante! questo è quello che produce shorewall? in una parola è abominevole!!!
tutto quello che fa si poteva sostituire con una manciata di regole semplicissime da imparare. poi mi vengono a dire che shorewall è semplice e comodo...
allora... innanzitutto vedo delle regole di packet mangling. ne hai realmente bisogno? il packet mangling si usa solo su gateway ad alto traffico. fai i tuoi conti.
da un'occhiata rapidissima pare che il problema dia questo: hai messoa drop la politica di output (e fin qui può stare bene) e hai consentito l'uscita (chain fw2net) alle sole porte 80 e 53. che poi... anche qui è stato fatto un casino enorme. http usa sì la porta 80, ma in TCP, mentre tu hai messo sia TCP che UDP. il DNS, invece usa la porta 53, e fin qui ci siamo, ma usa UDP, mentre tu hai abilitato TCP.
l'errore più grosso che vedo a colpo d'occhio è quello
fai una cosa... scarica nel cesso shorewall e scrivi "iptables-restore < rules" dove rules è un file di regole fatto esattamente come l'output di iptables-save e contenente SOLO questo:
| Quote: |
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -j REJECT
-A FORWARD -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ! icmp -m state --state INVALID -j DROP
-A OUTPUT -o eth1 -m state --state NEW.RELATED,ESTABLISHED -j ACCEPT
COMMIT
|
ho assunto eth0 interfaccia verso internet, eth1 verso la LAN.
potrebbero esserci degli errori, quindi prendilo un po' con le pinze.
ad ogni modo questo è un firewall che fa esattamente le stesse cose dell'altro, senza regole specifiche e con una manciata di regole e le tre chain predefinite, senza tutta quell'accozzaglia incomprensibile, e senza creare decine di chain... sei ancora convinto che shorewall sia più semplice di iptables?
ah... se hai bisogno di fare routing devi aggiungere una regola per il masquerading |
|
| Back to top |
|
|
Taglia
Apprentice
Joined: 05 Nov 2004
Posts: 244
|
| Posted: Mon Mar 28, 2005 12:02 pm Post subject: |
|
|
Innanzitutto grazie per l'attenzione. Adesso sto uscendo (visite ai parenti rulez ahahah), però appena torno leggerò tutto approfinditamente. Unica cosa che non mi torna in quanto da te detto. eth0 e eth1 praticamente sono la stessa cosa! Solo che:
- eth0 è la lan ethernet usuale che si connette al router!
- eth1 è la scheda wlan , che si connette allo stesso router di cui sopra!
In pratica uso eth0 quando ho il cavo, eth1 quando non voglio attaccarmi con il cavo e preferisco usare l'access point. Ma a livello "logico" sono esattamente la stessa cosa.
| Code: |
!
eth0 ------- !-----\
! +------- ROUTER ---------------------- INTERNET
eth1 -------!------/ |
! |
! |
LAN PRIVATA
|
(fantastico, certe volte mi stupisco delle mie capacità grafiche)
Il firewall è installato sulla macchina a sinistra dei punti esclamativi, macchina che ha due interfaccie possibili verso il router (eth0, ethernet oppure eth1, wireless lan)
Poi ho altre macchine che si collegano al router e formano una rete interna.
Ora scappo, appena torno mi guardo tutto per bene!
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio |
|
| Back to top |
|
|
|
Forum italiano (Italian)
