Iptables e firestarter da zero...

[Ciccio Bueo]

volevo iniziare ad usare firestarter, che mi sembrava la soluzione più facile per configurare un firewall, ma mi trovo in grossisime difficoltà di "comprensione", ho cercato sul forum e ho visto che se ne è parlato molto, ma non sono riuscito a farmi chiarezza.... ho letto anche la documentazione sul sito di iptables, ma sono in confusione..

allora, primo passo, ho configurato il kernel perchè ci sia il pppfiltering? modulo o statico? attualemtne ce l'ho compilato come statico...

poi le regole di iptables... in teoria le posso aggiungere da firestarter, ma non riesco, ovvero, se attivo il firewall, e cerco di usare internet vedo che non funziona, e vedo che c'è un tentativo di uscita da una determinata portca tcp, allora clicco col destro e la autorizzo, ma non funziona, ovvero vengono usate un "range" di porte? quali?

[Taglia]

Mah guarda anche io sono alle prime armi ma, se vuoi veramente capire cosa stai facendo, cerca di buttare via i tools che ti configurano il firewall per conto loro e imparati a scrivere le regole. Secondo me un'approccio molto valido e facile è utilizzare la policy DENY ALL (ovvero rifiuti tutto) e poi apri solamente i servizi che ti servono, per iniziare. Se riesci a fare questo, secondo me sei già a buon punto per iniziare a imparare le cose più avanzate che il firewall ti permette di impostare. Per il kernel, io ho impostato tutto come statico.
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio

[flocchini]

concordo... quando hai ben chiaro cosa stai facendo/vuoi fare allora 'e comodo utilizzare tool tipo shorewall o firestarter ma senza una buona padronanza di iptables non vai comuque da nessuna parte imho. Cerca una guida e scrivi alla brutta il tuo firewall, io ho imparato cosi' (e tuttora faccio a mano i miei script, sono piu' comodo)
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[.:chrome:.]

io credo che tu non abbia capito molto.
allora... il firewall è netfilter, iptables è un tool userspace che permette di configurare il firewall, tutto il resto sono delle facility per iptables.
se non hai capito la sintassi di iptables è molto difficile che tu possa usare con successo altri tool che si appoggiano a questo.

se vai su www.netfilter.org troverai delle ottime e chiarissime guide che ti spiegano come configurare il firewall con iptables.

poi... opinione mia è che il modo più semplice di fare un firewall sia usare direttamente iptables. aggiungi le regole una alla volta, con la stessa identica logica ed ordine con cui vengono processate. io lascerei perdere i tool diversi da iptables: fanno solo casino

[assente]

Firestarter si appoggia a -> shorewall -> iptables, tra l'altro se non hai syslogd, ma un'altro logger, non vedi in tempo reale le connessioni.. dopo averlo provato un po' la mia conslusione è stata: scarica uno script commentanto e impara a gestirti le regole a mano

Riguardo le opzioni delkernel ti consiglio nel dubbio "modulo"

usa netstat -act per farti un'idea delle porte che ti servono
_________________
Blog
E8400, 4850, P5q

[Ciccio Bueo]

mii che skleroooo...


per favore, potete postarmi una vostra configurazione, e sulla base di quella faccio le domande?
ma la configurazione devo farla con itables attivato o no?
qual'è il file di configurazione per editare le regole?

ho provato anche a seguire la gentoo security guide, ma con scarso risultato...

cioè non va internet.. (che usa il protocollo tcp)


in particolare non capisco queli sono esattamente le opzione da attivare nel kernel... solo ppp filtering?

[.:chrome:.]

[flocchini]

l'idea e': ti fai il tuo script con un editor di testo e lo lanci, poi fai rules-save in modo che vengano salvate dal sistema di inizializzazione di gentoo (per fare le cose "pulite")
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[xchris]

eh gia'...
se uno parte da zero la cosa + semplice e' studiarsi il malloppo di iptables...

ma ne siete cosi' convinti?

Ricordiamoci che molte persone stanno migrando a linux e non per forza hanno ambizioni da sys-admin.

Ben vengano quindi tool che semplificano la vita... poi GNU/linux ti da la possibilita' di scegliere...
a ognuno il suo!

Non diciamo pero' che la cosa + semplice e' studiarsi iptables & co.

Non avevo mai visto firestarter e per curiosita' l'ho emerso.
In 3 secondi mi ha fatto una configurazione da desktop. Notevole! (anche se per la mia macchina e' poco indicato per il numero di interfaccie fisiche/virtuali)

Sembra come che a usare iptables "puro" sia da fighi... mah
_________________
while True:Gentoo()

[flocchini]

ma no nn e' questione di fighi o meno... Sara' che io ho imparato cosi' e mi trovo piu' comodo (come anche altri mi pare di capire), comunque secondo me una guida bisogna leggersela altrimenti si fanno le cose a muzzo. Che poi magari non si abbiano ambizioni da sysadmin e' altrettanto vero ma a questo punto siamo sicuri che si abbia reale necessita' di un firewall sulla propria macchina linux? Basta aprire con criterio i servizi...

Poi oh, se vuole provare shorewall e firestarter e vedere se riesce a cavarci fuori qsa senza sapere nulla di iptables, liberissimo di farlo (lo so che sei un convinto sostenitore di shorewall, hai cercato di farlo usare anche a me ma non mi piace oh! )

[OT]Alla facciazza di netfilter in tutte le sue forme, a risentirci tra qualche giorno, domattina me ne vado in Spagna [/OT]
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[xchris]

e' ovvio che ognuno e' libero di avere la sua opinione

Senza un firewall io mi sentirei cmq nudo
E non avere un report delle tentate connessioni e altro sarebbe un handicap per me.

Il punto e' che spesso molto linux user non mettono alcun firewall proprio per il fatto che e' ostico netfilter+iptables.

Poter avere un minimo di protezione anche senza alcuna conoscenza di iptables penso sia importante soprattutto per una maggiore diffusione di gnu/linux.

che dire.... buon viaggio alla faccia di netfilter
_________________
while True:Gentoo()

[matttions]

Io utilizzo firestarter ...

...

è ottimo.
_________________
gentoo ... l'unico pinguino da corsa

[gutter]

Iptables, shorewall e firestarter (intesi come frontend a netfilter) sono strumenti che secondo me hanno dei target diversi, quindi mi pare perfettamente inutile fare paragoni su usabilità o semplicità. Ritengo che siano tutti degli ottimi tools ma sono indirizzati ad utenti diversi.

Poi come ripeto sempre "l'informatica è spesso una questione di compromesso" quindi ciascuno dei tools in questione può risultare la soluzione ottima in un determinato caso e pessima in un altro.

P.S.: Dopo anni di uso di iptables sono passato a shorewall e sono veramente soddisfatto di questo tool.
_________________
Registered as User #281564 and Machines #163761

[.:chrome:.]

io parto da due idee fondamentali:
1 - firestarter e shorewall sono dei tool che aiutano nella configurazione di iptables, ma se uno non sa mettere le mani su iptables, difficilmente farà qualcosa di buono con questi tool
2 - un utente inesperto raramente ha davvero bisogno di un firewall. spesso è un tool soperfluo (per la stessa natura dei sistenmi UNIX)

ma queste sono mie opinioni personali

[matttions]

Si.. ma invece che studiarsi le regole di iptables in 3 secondi avere un firewall funzionante e ben fatto.. n è male

E' chiaro che essendo su gentoo studiarsi un qualcosa in + nn viene visto come un bug, ma ome feature
_________________
gentoo ... l'unico pinguino da corsa

[pistodj]

E' da poco che sono migrato a linux ma devo dire che son passato anch-io per l-argomento firewall.
inizialmente ho tentato di configurare il tutto tramite webadmin ma ho fatto un grosso buco nell-acqua
Personalmente nn conosco il prodotto che stai tentando di usare e cosi' mi sono messo a studiare iptables...
sinceramente ci ho perso un mese e lo trovo ancora abbastanza complesso ma ora penso ne sia valsa la pena impararlo...

se ti interessa il mio scripte e' questo...
dato che e' fresco di giornata se vedete che ha qualche errore postate grazie...


Ps. nn e' detto che a te serva tutto cio' che io ho attivato in quanto la mia macchina e' una serverweb per cui vedi tu come personalizzarlo!!

[xchris]

[gutter]

[X-Drum]

[Ciccio Bueo]

due giorni che non posto... non riuscivo a far andare la connessione...

adesso ho piallato iptabels e mi son connesso... non so che dirvi, ho letto il ma di iptables, la doc sul web, la gento security guide, ma se aprto da zero, non ne vengo fuori... sarò stupido, che vi devo dire...

proviamo una cosa per volta, se vi va di farmi un pò di "carità informatica", il servizio iptables lo aggiungo al runlevel di default?

[pistodj]

Scusate in effetti vi ho postato le policy che avevo impostato temporaneamente...
quelle corrette sono queste!!

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

[Ciccio Bueo]

abolito il firewall.... unmerge di iptables e firestarter, e tolto anche dal kernel.. non posso usare internet una volta a settimana... per fortuna che non ho provato sui pc in ufficio, altrimenti mi veniva da ridere...


ritenterò più avanti con maggiore calma...

[xchris]

noooooo

come ti colleghi a internet?
se hai voglia ti assisto con shorewall...(in privato)

ciao
_________________
while True:Gentoo()

[Ciccio Bueo]

[xchris]

configura il kernel con il supporto netfilter..

se sei indeciso se compilare o meno una voce inizia a metterla come modulo.

poi dovrai emerge iptables e shorewall.

Poi ne riparliamo
ciao
_________________
while True:Gentoo()