View previous topic :: View next topic |
Author |
Message |
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Sat May 14, 2005 12:28 am Post subject: che ne dite del mio firewall??? |
|
|
#!/bin/sh
#elimino eventuali precedenti regole
iptables -F
#chiudo tutto il traffico
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#impedisco il ping
iptables -A INPUT -p icmp -s 127.0.0.1 -j DROP
#apro il traffico internet tcp/udp
iptables -A INPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT
#traffico amule
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 4662 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 4672 -j ACCEPT
la mia idea è quella di lasciare solo il traffico internet, bloccare il ping verso il mio ip, lasciare aperte solo le porte 4662 4672 x amule in modo da poter scaricare!
può funzionare???
xò netstat mi dice che ci sono aperte un mucchio di porte!!!
bash-2.05b# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:4662 *:* LISTEN
tcp 0 0 192.168.8.2:4662 116.47.77.83.cust:15396 ESTABLISHED
tcp 0 0 192.168.8.2:4662 80-26-252-254.adsl:1872 TIME_WAIT
tcp 0 1300 192.168.8.2:47792 host134-235.pool82:4662 ESTABLISHED
tcp 0 0 192.168.8.2:4662 host47-80.pool8252:1330 ESTABLISHED
tcp 0 0 192.168.8.2:4662 host88-20.pool622:50212 TIME_WAIT
tcp 0 0 192.168.8.2:4662 adsl-ull-61-169.42:3333 TIME_WAIT
tcp 0 115 192.168.8.2:4662 host156-251.pool80:2448 ESTABLISHED
tcp 0 0 192.168.8.2:4662 195.210.217.46:39621 ESTABLISHED
tcp 0 0 192.168.8.2:4662 d83-176-92-67.cust:2829 ESTABLISHED
tcp 0 0 192.168.8.2:4662 200165119246.user.:1663 ESTABLISHED
tcp 0 0 192.168.8.2:4662 host172-20.pool821:4298 ESTABLISHED
tcp 0 0 192.168.8.2:4662 83.99.112.103:25183 ESTABLISHED
tcp 1 1 192.168.8.2:38755 adsl-ull-159-19.46:4662 CLOSING
tcp 0 73 192.168.8.2:4662 car06-2-82-236-29-:3938 ESTABLISHED
tcp 0 0 192.168.8.2:4662 dsl01.212.114.228.:4099 ESTABLISHED
tcp 0 0 192.168.8.2:4662 p54b69539.dip0.t-:15029 ESTABLISHED
tcp 0 0 192.168.8.2:4662 p213.54.217.25.tis:1826 ESTABLISHED
tcp 1 1 192.168.8.2:4662 adsl-ull-126-41.44:1965 CLOSING
tcp 0 176 192.168.8.2:4662 p83.129.44.58.tis:49793 ESTABLISHED
tcp 1 1 192.168.8.2:37340 host112-105.pool82:4662 CLOSING
tcp 0 0 192.168.8.2:4662 avista.com.ua:16610 TIME_WAIT
tcp 0 0 192.168.8.2:4662 wq190.internetdsl:40879 TIME_WAIT
tcp 1 1 192.168.8.2:4662 17.red-80-36-70.p:60915 CLOSING
tcp 1 1 192.168.8.2:45097 host219-128.pool82:4662 CLOSING
tcp 0 0 192.168.8.2:4662 host181-174.pool82:4382 ESTABLISHED
tcp 0 0 192.168.8.2:4662 106.red-83-37-51.:12088 ESTABLISHED
tcp 0 0 192.168.8.2:4662 host56-34.pool8291:3781 ESTABLISHED
tcp 0 0 192.168.8.2:4662 dyn-83-157-196-250:4184 TIME_WAIT
tcp 0 0 192.168.8.2:4662 acb0445b.ipt.aol.c:3559 TIME_WAIT
tcp 0 0 192.168.8.2:4662 host55-199.pool82:63118 TIME_WAIT
tcp 0 1300 192.168.8.2:45597 host6-169.pool8251:4662 ESTABLISHED
tcp 0 0 192.168.8.2:4662 chello08010817618:33565 TIME_WAIT
tcp 0 0 192.168.8.2:4662 adsl-ull-113-208.4:1606 TIME_WAIT
tcp 0 0 192.168.8.2:42997 razorback.ed2k.ch:4661 ESTABLISHED
tcp 0 0 192.168.8.2:4662 p54b3c70f.dip.t-d:36662 ESTABLISHED
udp 0 0 *:4665 *:*
udp 0 0 *:4672 *:*
udp 0 0 *:bootpc *:*
raw 0 0 *:icmp *:*
è normale oppure è il mio config del firewal che fa pietà? |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Sat May 14, 2005 12:47 am Post subject: |
|
|
aiuto nn riesco a chiudere la porta 23!!!!
se provo quei siti x testare le vulnerabilità mi dicono che ho la porta 23 aperta coma la chiudo??? |
|
Back to top |
|
|
flocchini Veteran
Joined: 17 May 2003 Posts: 1124 Location: Milano, Italy
|
Posted: Sat May 14, 2005 3:16 am Post subject: Re: che ne dite del mio firewall??? |
|
|
Scusa eh ma se
khris81 wrote: | #chiudo tutto il traffico
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
|
Allora che senso ha
khris81 wrote: |
#apro il traffico internet tcp/udp
iptables -A INPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT
|
aprire TUTTE le porte tcp e udp? Non e' un firewall e' un grooviera questo
Ricordati che a parte le policy di default le altre regole vengono applicate in ordine, la prima che matcha lo stato di un pacchetoto viene applicata. Di conseguenza dopo queste 7 righe il resto del firewall e' inutile.
Le scuole di pensiero sono 2: la prima e' quella di consentire tutto e bloccare solo le porte dannose (bleah imho), la seconda e' di chiudersi dentro e consentire il traffico in entrata solo ai servizi necessari e alle connessioni gia' stabilite perche' richieste dalla tua macchina.
Non capisco poi perche' impedire il ping sul loopback, cosi' come l'apertura delle porte tipiche di emule sempre sul loopback... Benche' come gia' detto in questo caso non siano comunque mai applicate di base sono inutili.
Ti consiglio la lettura di una buona guida su netfilter/iptables... _________________ ~~ Per amore della rosa si sopportano le spine... ~~ |
|
Back to top |
|
|
Mr.Evolution Guru
Joined: 30 Dec 2003 Posts: 346 Location: Padova (Italy)
|
Posted: Sat May 14, 2005 7:48 am Post subject: |
|
|
Consiglio una buona lettura di questo:
http://www.gentoo.org/doc/it/gentoo-security.xml _________________ Niente è impossibile......è solo questione di tempo!
Lo script è quello che dai agli attori. Il programma è quello che dai agli spettarori.
-- Larry Wall, creatore di Perl |
|
Back to top |
|
|
comio Advocate
Joined: 03 Jul 2003 Posts: 2191 Location: Taranto
|
Posted: Sat May 14, 2005 9:06 am Post subject: Re: che ne dite del mio firewall??? |
|
|
khris81 wrote: |
#apro il traffico internet tcp/udp
iptables -A INPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT
|
E' da rifare :S. Mai dare degli ACCEPT di questo tipo.
ciao _________________ RTFM!!!!
e
http://www.comio.it
|
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Sat May 14, 2005 9:14 am Post subject: Re: che ne dite del mio firewall??? |
|
|
khris81 wrote: |
la mia idea è quella di lasciare solo il traffico internet, bloccare il ping verso il mio ip, lasciare aperte solo le porte 4662 4672 x amule in modo da poter scaricare!
può funzionare???
xò netstat mi dice che ci sono aperte un mucchio di porte!!! |
Chiaramente... hai aperto tutto il traffico tcp/udp in entrata e uscita..
io ti consiglio di crearti due catene una per tcp e una per udp.. e poi filtri il necessario... Un esempio per TCP.
Code: | #
# Creo la catena ok_tcp
#
$IPTABLES -N ok_tcp
#
# Appendo le regole a ok_tcp
#
# FTP
$IPTABLES -A ok_tcp -d $MY_IP_ADDRESS -p tcp -m tcp --dport 20 -j ACCEPT
$IPTABLES -A ok_tcp -d $MY_IP_ADDRESS -p tcp -m tcp --dport 21 -j ACCEPT
$IPTABLES -A ok_tcp -s $MY_IP_ADDRESS -p tcp -m tcp --sport 20 -j ACCEPT
$IPTABLES -A ok_tcp -s $MY_IP_ADDRESS -p tcp -m tcp --sport 21 -j ACCEPT
# SSH
$IPTABLES -A ok_tcp -d $MY_IP_ADDRESS -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -A ok_tcp -s $MY_IP_ADDRESS -p tcp -m tcp --sport 25 -j ACCEPT
# HTTP and HTTPS
$IPTABLES -A ok_tcp -d $MY_IP_ADDRESS -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A ok_tcp -s $MY_IP_ADDRESS -p tcp -m tcp --sport 80 -j ACCEPT
# POP 3
$IPTABLES -A ok_tcp -d $MY_IP_ADDRESS -p tcp -m tcp --dport 110 -j ACCEPT
$IPTABLES -A ok_tcp -s $MY_IP_ADDRESS -p tcp -m tcp --sport 110 -j ACCEPT
$IPTABLES -A ok_tcp -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
# mantengo le connessioni stabilite
$IPTABLES -A ok_tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
# logs
$IPTABLES -A ok_tcp -i $NET_IFACE -p tcp -j LOG --log-prefix "ok_tcp drop:"
# il resto lo debello
$IPTABLES -A ok_tcp -p tcp -j DROP
#
# Imposto il firewall in modo che INPUT passi sulle catene
#
$IPTABLES -A INPUT -i $NET_IFACE -p tcp -j ok_tcp
|
Per emule e p2p in generale...
Code: | #eDonkey-aMule
$IPTABLES -A INPUT -i $NET_IFACE -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A INPUT -i $NET_IFACE -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -i $NET_IFACE -p udp --dport 4665 -j ACCEPT
$IPTABLES -A INPUT -i $NET_IFACE -p udp --dport 4672 -j ACCEP |
In uscita invece ti consiglio di fare passare tutto...
Code: | #
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
Cmq dai una letta a qualche man.. iptables e' molto complesso e richiede qualche studio prima di affrontarlo... _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
.:deadhead:. Advocate
Joined: 25 Nov 2003 Posts: 2963 Location: Milano, Italy
|
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat May 14, 2005 10:31 am Post subject: Re: che ne dite del mio firewall??? |
|
|
khris81 wrote: | #elimino eventuali precedenti regole
iptables -F
|
Code: | iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat |
questo è meglio per eliminare le regole...
Quote: | la mia idea è quella di lasciare solo il traffico internet, bloccare il ping verso il mio ip, lasciare aperte solo le porte 4662 4672 x amule in modo da poter scaricare! |
Ma il traffico internet è qualcosa di più complesso... che significa "lasciare tutto il traffico internet"? Anche emule fa traffico internet....
Dire di voler lasciare solo il traffico internet può voler dire che vuoi escludere il traffico sulla tua lan, ma nel tuo script non vedo nessuna indicazione della presenza di una lan....
Forse vuoi lasciare aperta solo la porta 80?
Io penso che tu abbia un semplice desktop e voglia mettere un semplice firewall casalingo...
in questo caso puoi limitarti a consentire tutto il traffico in uscita e bloccare solo quello in entrata
Puoi bloccaro tutto e poi aprire le porte solo ai servizi che vuoi te (ssh, *donkey, o qualsiasi demone di rete tu abbia attivo sul tuo pc)
Quote: | può funzionare???
xò netstat mi dice che ci sono aperte un mucchio di porte!!! |
Ovvio, c'è tutto il traffico internet
Quote: | è normale oppure è il mio config del firewal che fa pietà? |
La seconda che hai detto _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Sun May 15, 2005 4:05 pm Post subject: |
|
|
seguendo i suggeriment idi neryo mi sono messo pure io a utilizzarlo.
ecco il mio "iptables -L"
Code: |
Chain INPUT (policy ACCEPT)
target prot opt source destination
ok_tcp tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain ok_tcp (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:ftp-data
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:ftp
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:ftp-data
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:ftp
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:smtp
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:smtp
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:www
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:www
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:pop3
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:pop3
ACCEPT tcp -- anywhere 10.0.0.10 tcp dpt:webcache
ACCEPT tcp -- 10.0.0.10 anywhere tcp spt:webcache
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere LOG level warning prefix `ok_tcp drop:'
DROP tcp -- anywhere anywhere
|
La dicitura webcache corrisposnde alla porta 8080 che uso per comunicare col proxy x la connessione ad internet scroccandola da un altro pc.
DUBBIO: avendo capito che iptables fa il match con la prima riga che soddisfa il pacchetto entrante, non ho ben capito l'utilita e a che serve la riga
Code: |
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
|
messa prima della
Code: |
DROP tcp -- anywhere anywhere
|
l'ultima elimina tutto, ma la precendete accetta tutto????
se fosse cosi' l'ultima riga e' inutile.
ps: consideranto il fatto che non ho capito la dicitura "state" eccetera eccetera...
Potrei fare qualcosa di piu' sofisticato o basta questo come firewall?
postate anche il vostro config!
bye |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Sun May 15, 2005 4:23 pm Post subject: |
|
|
power83 wrote: |
DUBBIO: avendo capito che iptables fa il match con la prima riga che soddisfa il pacchetto entrante, non ho ben capito l'utilita e a che serve la riga
Code: |
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
|
messa prima della
Code: |
DROP tcp -- anywhere anywhere
|
l'ultima elimina tutto, ma la precendete accetta tutto????
se fosse cosi' l'ultima riga e' inutile.
ps: consideranto il fatto che non ho capito la dicitura "state" eccetera eccetera...
|
Allora quella con state RELATED,ESTABLISHED accetta tutti i pacchetti che appartengono ad una connessione preesistente o i pacchetti correlati senza far parte di una conessione preesitente..
l'ulima regola e' una sicurezza in caso non soddisfi i match precedenti viene distrutto tutto quello che passa!
Quote: | Potrei fare qualcosa di piu' sofisticato o basta questo come firewall? |
puoi sempre fare di meglio.. e non e' mai abbastanza [/code] _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Sun May 15, 2005 4:33 pm Post subject: |
|
|
ok capito, grazie.
mmm...fare di meglio vorrei, ma listati di esempio o vostri listati avere dovrei! |
|
Back to top |
|
|
CarloJekko Veteran
Joined: 31 Mar 2005 Posts: 1315 Location: Baia Domizia :-)
|
Posted: Sun May 15, 2005 5:49 pm Post subject: |
|
|
power83 wrote: | ok capito, grazie.
mmm...fare di meglio vorrei, ma listati di esempio o vostri listati avere dovrei! |
Questo è il mio, su un server POP3, SMTP, FTP, SSH e WWW
Code: | #SOSTITUIRE $MyIp
MyIp=xxx.xxx.xxx.xxx
dev_int=xxx
iptables _f
iptables -N icmp_in
iptables -A icmp_in -i $dev_int -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A icmp_in -i $dev_int -p icmp -m icmp --icmp-type 5 -j ACCEPT
iptables -A icmp_in -i $dev_int -p icmp -m icmp --icmp-type 11 -j ACCEPT
iptables -A icmp_in -p icmp -j LOG --log-prefix "ICMP drop:"
iptables -A icmp_in -p icmp -j DROP
iptables -A INPUT -i $dev_int -p icmp -j icmp_in
iptables -N bad_tcp
iptables -A bad_tcp -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "Nuova non syn:"
iptables -A bad_tcp -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -A bad_tcp -p tcp -m state --state INVALID -j LOG --log-prefix "Invalida:"
iptables -A bad_tcp -p tcp -m state --state INVALID -j DROP
iptables -A bad_tcp -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 5/min -j LOG --log-prefix "NMAP-XMAS:"
iptables -A bad_tcp -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
iptables -A bad_tcp -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/min -j LOG --log-prefix "SYN/RST:"
iptables -A bad_tcp -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A bad_tcp -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 5/min -j LOG --log-prefix "SYN/FIN:"
iptables -A bad_tcp -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 137:139 -m limit --limit 5/min -j LOG --log-prefix "NO SMB:"
iptables -A bad_tcp -p tcp -m tcp --sport 137:139 -m limit --limit 5/min -j LOG --log-prefix "NO SMB:"
iptables -A bad_tcp -p tcp -m tcp --dport 137:139 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 137:139 -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 2049 -m limit --limit 5/min -j LOG --log-prefix "NO NFS:"
iptables -A bad_tcp -p tcp -m tcp --sport 2049 -m limit --limit 5/min -j LOG --log-prefix "NO NFS:"
iptables -A bad_tcp -p tcp -m tcp --dport 2049 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 2049 -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 6000:6063 -m limit --limit 5/min -j LOG --log-prefix "NO X:"
iptables -A bad_tcp -p tcp -m tcp --sport 6000:6063 -m limit --limit 5/min -j LOG --log-prefix "NO X:"
iptables -A bad_tcp -p tcp -m tcp --dport 6000:6063 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 6000:6063 -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 20034 -m limit --limit 5/min -j LOG --log-prefix "NO NetBus2:"
iptables -A bad_tcp -p tcp -m tcp --sport 20034 -m limit --limit 5/min -j LOG --log-prefix "NO NetBus2:"
iptables -A bad_tcp -p tcp -m tcp --dport 20034 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 20034 -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 12345:12346 -m limit --limit 5/min -j LOG --log-prefix "NO NetBus:"
iptables -A bad_tcp -p tcp -m tcp --sport 12345:12346 -m limit --limit 5/min -j LOG --log-prefix "NO NetBus:"
iptables -A bad_tcp -p tcp -m tcp --dport 12345:12346 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 12345:12346 -j DROP
iptables -A bad_tcp -p tcp -m tcp --dport 27374 -m limit --limit 5/min -j LOG --log-prefix "NO SubSeven:"
iptables -A bad_tcp -p tcp -m tcp --sport 27374 -m limit --limit 5/min -j LOG --log-prefix "NO SubSeven:"
iptables -A bad_tcp -p tcp -m tcp --dport 27374 -j DROP
iptables -A bad_tcp -p tcp -m tcp --sport 27374 -j DROP
iptables -A INPUT -i $dev_int -p tcp -j bad_tcp
iptables -N ok_tcp
iptables -A ok_tcp -d $MyIp -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A ok_tcp -d $MyIp -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A ok_tcp -d $MyIp -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A ok_tcp -d $MyIp -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A ok_tcp -d $MyIp -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A ok_tcp -s $MyIp -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A ok_tcp -s $MyIp -p tcp -m tcp --sport 21 -j ACCEPT
iptables -A ok_tcp -s $MyIp -p tcp -m tcp --sport 25 -j ACCEPT
iptables -A ok_tcp -s $MyIp -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A ok_tcp -s $MyIp -p tcp -m tcp --sport 110 -j ACCEPT
iptables -A ok_tcp -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -A ok_tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A ok_tcp -i $dev_int -p tcp -j LOG --log-prefix "ok_tcp drop:"
iptables -A ok_tcp -p tcp -j DROP
iptables -N ok_udp
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 20 -j ACCEPT
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 21 -j ACCEPT
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 25 -j ACCEPT
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 80 -j ACCEPT
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 110 -j ACCEPT
iptables -A ok_udp -d $MyIp -p udp -m udp --dport 53 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 53 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 20 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 21 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 25 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 80 -j ACCEPT
iptables -A ok_udp -s $MyIp -p udp -m udp --sport 110 -j ACCEPT
iptables -A ok_udp -p udp -m udp --udp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -A ok_udp -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A ok_udp -i $dev_int -p udp -j LOG --log-prefix "ok_udp drop:"
iptables -i INPUT -i $dev_int -d $MyIp -p tcp --dport 9176 -j ACCEPT ##per Valknut in modalità attiva
iptables -i INPUT -i $dev_int -d $MyIp -p udp --dport 9176 -j ACCEPT ##per Valknut in modalità attiva
iptables -A ok_udp -p udp -j DROP
iptables -A INPUT -i $dev_int -p tcp -j ok_tcp
iptables -A INPUT -i $dev_int -p udp -j ok_udp
iptables -A INPUT -i $dev_int -j LOG --log-prefix "Drop default : " ##regola aggiunta per sicurezza
iptables -A INPUT -i $dev_int -j DROP |
_________________ C. |
|
Back to top |
|
|
^Sporting^ Tux's lil' helper
Joined: 06 Oct 2003 Posts: 131 Location: 009°11'28'' E 045°36'39'' N
|
Posted: Sun May 15, 2005 6:36 pm Post subject: |
|
|
Se vuoi imparare per bene, sbattendoci la testa e studiando per bene l'argomento, allora:
Se invece vuoi semplificarti la vita o avere gia' una buona base su cui, poi, fare esperimenti e migliorie, allora: Code: | emerge -s gshield
Searching...
[ Results for search key : gshield ]
[ Applications found : 1 ]
* net-firewall/gshield
Latest version available: 2.8-r2
Latest version installed: [ Not Installed ]
Size of downloaded files: 46 kB
Homepage: http://muse.linuxmafia.org/gshield.html
Description: iptables firewall configuration system
License: GPL-2 | E' un programmino di semplice configurazione che ti crea in automatico le regole giuste, tu devi solo impostare i tuoi valori personalizzati in un file di configurazione
Bye! |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Sun May 15, 2005 10:57 pm Post subject: |
|
|
ecco con il mio nuovo e fiammant firewall copiato
xò netstat mi dice che ho aperto tutto!!!!
bash-2.05b# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.8.2:41354 host220-34.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:60468 host86-148.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:38987 razorback.ed2k.ch:4661 ESTABLISHED
tcp 0 0 192.168.8.2:58615 host46-160.pool825:4662 ESTABLISHED
tcp 0 44 192.168.8.2:33841 adsl-17-111.38-151:4662 ESTABLISHED
tcp 0 0 192.168.8.2:33641 adsl-ull-100-20.44:4662 ESTABLISHED
tcp 0 0 192.168.8.2:45776 host54-120.pool801:4000 ESTABLISHED
tcp 0 0 192.168.8.2:41201 host-84-222-80-201:4662 ESTABLISHED
tcp 0 0 192.168.8.2:54800 p54AAD706.dip.t-di:9664 ESTABLISHED
tcp 0 0 192.168.8.2:54794 host71-167.pool825:4662 ESTABLISHED
tcp 0 1 192.168.8.2:55448 d83-176-64-146.cus:4662 SYN_SENT
tcp 0 0 192.168.8.2:53255 user152.cetra.si:4662 ESTABLISHED
tcp 0 77 192.168.8.2:33179 host234-170.pool82:4662 ESTABLISHED
tcp 0 0 192.168.8.2:53094 host79-121.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:55922 host95-181.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:37248 host5-174.pool8253:4662 ESTABLISHED
tcp 0 0 192.168.8.2:40589 host175-51.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:35076 host169-163.pool82:4662 ESTABLISHED
tcp 0 22 192.168.8.2:39436 host172-20.pool821:4662 ESTABLISHED
tcp 0 0 192.168.8.2:39509 lns-vlq-43-mon-82-:7752 ESTABLISHED
tcp 0 0 192.168.8.2:35399 host184-141.pool82:4662 ESTABLISHED
tcp 0 0 192.168.8.2:33912 host79-13.pool8252:4662 ESTABLISHED
tcp 0 0 192.168.8.2:38834 host28-244.pool801:6799 ESTABLISHED
tcp 0 1 192.168.8.2:56140 host34-247.pool801:4662 SYN_SENT
tcp 0 0 192.168.8.2:33857 host16-29.pool8250:4662 ESTABLISHED
tcp 0 0 192.168.8.2:46311 host139-94.pool825:4662 ESTABLISHED
tcp 0 0 192.168.8.2:48092 21.20-218-195.adsl:4662 ESTABLISHED
tcp 0 0 192.168.8.2:55759 host30-16.pool8257:4662 ESTABLISHED
tcp 0 2728 192.168.8.2:4662 host90-190.pool217:4657 ESTABLISHED
tcp 0 0 192.168.8.2:33176 host12-31.pool8257:4662 ESTABLISHED
tcp 0 0 192.168.8.2:33176 host12-31.pool8257:4662 ESTABLISHED
questo è il firewall
#!/bin/sh
# elimino eventuali precedenti regole
iptables -F
iptables -X
# impedisco il ping
iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP
iptables -A INPUT -p icmp ! --icmp-type echo-reply -j DROP
# traffico amule
#iptables -A INPUT -i eth0 -p tcp --dport 4662 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 4672 -j ACCEPT
# creo la catena ok_tcp
iptables -N ok_tcp
#
#traffico input
#
# FTP
iptables -A ok_tcp -d 192.168.8.2 -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A ok_tcp -d 192.168.8.2 -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A ok_tcp -s 192.168.8.2 -p tcp -m tcp --sport 20 -j ACCEPT
iptables -A ok_tcp -s 192.168.8.2 -p tcp -m tcp --sport 21 -j ACCEPT
# HTTP and HTTPS
iptables -A ok_tcp -d 192.168.8.2 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A ok_tcp -s 192.168.8.2 -p tcp -m tcp --sport 80 -j ACCEPT
# POP 3
iptables -A ok_tcp -d 192.168.8.2 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A ok_tcp -s 192.168.8.2 -p tcp -m tcp --sport 110 -j ACCEPT
iptables -A ok_tcp -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
# mantengo le connessioni stabilite, possiamo consentire che sessioni iniziate possano ricevere dati
iptables -A ok_tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
# traffico amule
iptables -A ok_tcp -d 192.168.8.2 -p tcp --dport 4662 -j ACCEPT
iptables -A ok_tcp -d 192.168.8.2 -p udp --dport 4672 -j ACCEPT
# il resto lo debello
iptables -A ok_tcp -p tcp -j DROP
# Imposto il firewall in modo che INPUT passi sulle catene
iptables -A INPUT -i eth0 -p tcp -j ok_tcp
# log
iptables -A ok_tcp -i eth0 -p tcp -j LOG --log-prefix "ok_tcp drop:"
#
#traffico output lascio passare tutto
#
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# traffico farword
#
iptables -A FORWARD -p tcp --syn -m limit --limit 3/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Last edited by khris81 on Sun May 15, 2005 11:59 pm; edited 1 time in total |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Sun May 15, 2005 11:55 pm Post subject: |
|
|
continuo ad avere la porta 23 aperta xchè???? |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon May 16, 2005 7:36 am Post subject: |
|
|
guarda che con quel netstat stai vedendo tutte le connessioni stabilite dal tuo p2p... _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Mon May 16, 2005 8:49 am Post subject: |
|
|
si?
nn me ne intendo molto scusate!
cmq come firewall com'è???? vi dico subito che è copiato nn è mia intenzione prendere i meriti di qualcun'altro, l'ho un pochino adattato alle mie esigenze desktop!
può essere sicuro cosi impostato oppure meglio ritoccarlo??? |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon May 16, 2005 9:24 am Post subject: |
|
|
khris81 wrote: | si?
nn me ne intendo molto scusate!
cmq come firewall com'è???? vi dico subito che è copiato nn è mia intenzione prendere i meriti di qualcun'altro, l'ho un pochino adattato alle mie esigenze desktop!
può essere sicuro cosi impostato oppure meglio ritoccarlo??? |
come ti ho detto non e' facile stabilire se e' sicuro.. cmq quando apri all'esterno il minimo necessario dovresti quantomeno stare leggermente tranquillo.. poi chiaramente e sempre buona regola controllare giornalmente i log di sistema.. _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Mon May 16, 2005 9:35 am Post subject: |
|
|
dove li mette i log??? |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon May 16, 2005 9:54 am Post subject: |
|
|
khris81 wrote: | dove li mette i log??? |
puoi usare anche
_________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Mon May 16, 2005 9:59 am Post subject: |
|
|
bo io nn vedo nessun log da parte del firewall eppure li ho pur attivati!!!
iptables -A ok_tcp -i eth0 -p tcp -j LOG --log-prefix "ok_tcp drop:" |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon May 16, 2005 10:12 am Post subject: |
|
|
khris81 wrote: | bo io nn vedo nessun log da parte del firewall eppure li ho pur attivati!!!
iptables -A ok_tcp -i eth0 -p tcp -j LOG --log-prefix "ok_tcp drop:" |
ma hai guardato dentro a /var/log/messages?? _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Mon May 16, 2005 10:13 am Post subject: |
|
|
ho inserito il config del firewall in /var/lib/iptables/rules-save
ma nn me le mette!!!
se vado a fare iptables -L nn c'è un cappero!!!!
come mai???? |
|
Back to top |
|
|
khris81 Apprentice
Joined: 10 May 2005 Posts: 245
|
Posted: Mon May 16, 2005 10:14 am Post subject: |
|
|
neryo wrote: | khris81 wrote: | bo io nn vedo nessun log da parte del firewall eppure li ho pur attivati!!!
iptables -A ok_tcp -i eth0 -p tcp -j LOG --log-prefix "ok_tcp drop:" |
ma hai guardato dentro a /var/log/messages?? |
si ma nn ci sono i log del firewall!!! |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon May 16, 2005 10:17 am Post subject: |
|
|
khris81 wrote: | neryo wrote: | khris81 wrote: | bo io nn vedo nessun log da parte del firewall eppure li ho pur attivati!!!
iptables -A ok_tcp -i eth0 -p tcp -j LOG --log-prefix "ok_tcp drop:" |
ma hai guardato dentro a /var/log/messages?? |
si ma nn ci sono i log del firewall!!! |
i log li scrive solo quando fa il drop dei pacchetti.. se non ha niente da droppare non scrive nulla... _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
|