| View previous topic :: View next topic |
| Author |
Message |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
 Posted: Sun Jun 26, 2005 8:46 am Post subject: |
 |
|
| akx wrote: | | Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui! |
no, no... fai benissimo a chiedere... infatti qualcke risposta l'hai avuta
poi starà a te mettere tutto insieme e farti la tua idea  |
|
| Back to top |
|
 |
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 26, 2005 1:22 pm Post subject: |
|
|
| akx wrote: |
Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui! |
il livello di sicurezza di redhat e simili... è molto dubbio. La sicurezza dipende dal contesto. Posso capire un ACCEPT indiscriminato sia un livello basso...
Quello che ti consiglio io è di capire se hai bisogno di un firewall (se non hai un servizio sulla porta X... non ha senso chiuderla, dato che lo è già!) e di capire quali sono i servizi che vuoi rendere pubblici alla tua "clientela".
Magari se hai dubbi specifici posta pure le tue conf in modo da poterci ragionare su!
Ti suggerisco comunque di visitare il sito www.netfilter.org, ci sono molti esempi nelle documentazioni, utili per farsi delle idee.
ciao
-8
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
[PHT]Giangi
Tux's lil' helper
Joined: 27 Dec 2004
Posts: 110
Location: Rome - ITALY -
|
| Posted: Sun Jun 26, 2005 3:19 pm Post subject: |
|
|
Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob
_________________
Powered by : Gentoo Linux on PowerMac G5 2 CPU 2.00GHz. |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 26, 2005 3:38 pm Post subject: |
|
|
| [PHT]Giangi wrote: | | Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob |
ti dirò io ho dato una occhiata a fwbuilder... e devo dire che è notevole (supporta anche il ix... che è cosa buona). Poi non credo che sia tanto n00b...
ciao
-7
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
[PHT]Giangi
Tux's lil' helper
Joined: 27 Dec 2004
Posts: 110
Location: Rome - ITALY -
|
| Posted: Sun Jun 26, 2005 3:47 pm Post subject: |
|
|
| comio wrote: | | ti dirò io ho dato una occhiata a fwbuilder... e devo dire che è notevole (supporta anche il ix... che è cosa buona). Poi non credo che sia tanto n00b... |
no era una piccola provocazione .... effettivamente è un buon prodotto facile da usare e sopratutto completo .... sai assomiglia come grafica, al famoso prodotto commerciale "principe dei firewall" Checkpoint F1-NG.
_________________
Powered by : Gentoo Linux on PowerMac G5 2 CPU 2.00GHz. |
|
| Back to top |
|
|
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
| Posted: Sun Jun 26, 2005 3:51 pm Post subject: |
|
|
| scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema? |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 26, 2005 3:54 pm Post subject: |
|
|
| akx wrote: | | scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema? |
una backdoor è una porta di servizio... o meglio, un buco che ti permette l'accesso non voluto da chi gestisce il sistema. Per fartela facile... immagina che un giorno vengo su una tua macchina, mi metto un telnet su una porta che dico io e non dico nulla... quella porta è una backdoor.
In realtà si intende solitamente dei software che installano clandestinamente un sistema d'accesso ad un sistema.
subseven è un esempio (come backorifice).
ciao
-6
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
| Posted: Sun Jun 26, 2005 5:51 pm Post subject: |
|
|
| comio wrote: | | akx wrote: | | scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema? |
una backdoor è una porta di servizio... o meglio, un buco che ti permette l'accesso non voluto da chi gestisce il sistema. Per fartela facile... immagina che un giorno vengo su una tua macchina, mi metto un telnet su una porta che dico io e non dico nulla... quella porta è una backdoor.
In realtà si intende solitamente dei software che installano clandestinamente un sistema d'accesso ad un sistema.
subseven è un esempio (come backorifice).
ciao
-6 |
Quindi le si possono aprire solo in locale o è possibile aprirne anche in remoto?E se si può anche in remoto come me ne accorgo senza un software specifico? |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 26, 2005 6:13 pm Post subject: |
|
|
| akx wrote: |
Quindi le si possono aprire solo in locale o è possibile aprirne anche in remoto?E se si può anche in remoto come me ne accorgo senza un software specifico? |
Prova a dare un nessus sulla tua macchina o comunque un nmap per vedere cosa hai aperto. Se vedi delle porte che non avevi previsto... magari hai un backdoor.
Questo è un inizio.
ciao
-2
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
mindolo
n00b
Joined: 25 Jun 2005
Posts: 6
|
| Posted: Sun Jun 26, 2005 9:05 pm Post subject: |
|
|
puoi anche vedere semplicemente con un netstat -lp .
comunque la mia non era una critica alla tua domanda, era solo una considerazione.
Rimane comunque il fatto che prima di mettere mano ad un firewall è IMHO buona regola studiarsi a fondo i meccanismi di rete.
ciao
mindolo
_________________
:wq |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sun Jun 26, 2005 11:15 pm Post subject: |
|
|
| mindolo wrote: |
Rimane comunque il fatto che prima di mettere mano ad un firewall è IMHO buona regola studiarsi a fondo i meccanismi di rete. |
queste sono parole sacre.
ciao
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
masterbrian
Guru
Joined: 13 Feb 2004
Posts: 461
|
| Posted: Mon Jun 27, 2005 8:13 am Post subject: |
|
|
| k.gothmog wrote: | | mindolo wrote: | | più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? |
concordo. spesso il firewall è un oggetto superfluo |
Se hai un singolo servizio, visibile al mondo o "aperto" ad utenti che non sono piu' che sicuri, allora il firewall e' necessario
Riguardo alle prestazioni:
Anche io uso il firewall su un server con interfacce giga. Anche con una macchina molto ben carrozzata, delle regole non ben elaborate *possono* portare a dei rallentamenti significativi. E' in fase di load delle regole, e in fase di gestione delle stesse e infine, in termini di performance della rete.
E' normale Tanti piu' controlli devi fare, tanto piu' tempo sara' necessario.
_________________
[img:f6b0c3bcba]http://www.danasoft.com/sig/MasterBrian.jpg[/img:f6b0c3bcba] |
|
| Back to top |
|
|
Garuda
n00b
Joined: 10 Jun 2005
Posts: 8
|
| Posted: Mon Jun 27, 2005 3:30 pm Post subject: |
|
|
non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.
Il servizio che vorrei "blindare" e' l'smtp sulla 25.
Qualche parere ?
_________________
..fletto i muscoli e sono nel vuoto.(Rat-Man) |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Jun 27, 2005 5:49 pm Post subject: |
|
|
| Garuda wrote: | non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.
Il servizio che vorrei "blindare" e' l'smtp sulla 25. |
no. non ha nessun senso.
vuoi aprire SMTP? allora dovresti dire a un ipotetico firewall di aprire la porta 25...
ma se SMTP fosse l'unico servizio che la tua macchina esporta, allora, effettivamente, tutte le porte sarebbero chiuse, ad eccezione della 25...
e allora che fai? un firewall che chiude porta che sono già chiuse di per sè? hai paura che qualche forza oscura te ne apra una mentre sei girato? 
scherzi a parte... il senso credo si sia capito: un firewall, sui sistemi unix serve se hai configurazioni di rete estremamente labili, se devi fare routing, o filtraggi di tipo particolare. quelli che lo mettono sui desktop esercitano solo delle inutili paranoie |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Mon Jun 27, 2005 5:51 pm Post subject: |
|
|
| [PHT]Giangi wrote: | | Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob |
perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello
fare uno script è inutile, visto che viene comunque letto quel file |
|
| Back to top |
|
|
mindolo
n00b
Joined: 25 Jun 2005
Posts: 6
|
| Posted: Mon Jun 27, 2005 11:06 pm Post subject: |
|
|
| Garuda wrote: | non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.
Il servizio che vorrei "blindare" e' l'smtp sulla 25.
Qualche parere ? |
non credo di aver capito bene il significato di "blindare" vuoi che non sia visibile all'esterno? o vuoi che venga usato solo da determinati hosts? o ancora, vuoi che sia l'unico servizio attivo sulla macchina?
nel primo caso puoi configurare il server in modo che NON accetti la posta da altre macchine, nel secondo, allora si ti serve un firewall, e nel terzo ti serve un firewall solo se girano altri servizi che non vuoi che siano accessibili dall'esterno.
| k.gothmog wrote: |
perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello
fare uno script è inutile, visto che viene comunque letto quel file
|
beh e le regole come le scrivi? le imposti a mano la prima volta? io invece preferisco farmi un bello scriptone con tutte le regole e i commenti con tanto di disegnini della topologia della rete (la cosa più difficile  ) e infilarlo tra gli script di init.
poi vabbè ognuno usa quello che gli pare...
_________________
:wq |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Tue Jun 28, 2005 12:59 am Post subject: |
|
|
| mindolo wrote: | beh e le regole come le scrivi? le imposti a mano la prima volta? io invece preferisco farmi un bello scriptone con tutte le regole e i commenti con tanto di disegnini della topologia della rete (la cosa più difficile ) e infilarlo tra gli script di init.
poi vabbè ognuno usa quello che gli pare... |
degustibus appunto
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
[PHT]Giangi
Tux's lil' helper
Joined: 27 Dec 2004
Posts: 110
Location: Rome - ITALY -
|
| Posted: Tue Jun 28, 2005 6:44 am Post subject: |
|
|
| mindolo wrote: |
| k.gothmog wrote: |
perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello
fare uno script è inutile, visto che viene comunque letto quel file
|
beh e le regole come le scrivi? le imposti a mano la prima volta? io invece preferisco farmi un bello scriptone con tutte le regole e i commenti con tanto di disegnini della topologia della rete (la cosa più difficile ) e infilarlo tra gli script di init.
poi vabbè ognuno usa quello che gli pare... |
Grazie "mindolo" mi hai tolto le parole dalla bocca ......
_________________
Powered by : Gentoo Linux on PowerMac G5 2 CPU 2.00GHz. |
|
| Back to top |
|
|
masterbrian
Guru
Joined: 13 Feb 2004
Posts: 461
|
| Posted: Tue Jun 28, 2005 10:03 am Post subject: |
|
|
| k.gothmog wrote: | un firewall che chiude porta che sono già chiuse di per sè? hai paura che qualche forza oscura te ne apra una mentre sei girato?
|
Non vorrei scatenare flames, ma il firewall mica chiude solo le porte... hem hem. 
Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?
Ecco, iptables e' moooooooooolto di piu' Ti permette di fare tanti bei giochini.
Suvvia, non siamo riduttivi! 
_________________
[img:f6b0c3bcba]http://www.danasoft.com/sig/MasterBrian.jpg[/img:f6b0c3bcba] |
|
| Back to top |
|
|
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
| Posted: Tue Jun 28, 2005 8:08 pm Post subject: |
|
|
| credo di essermi fatto un'idea, comunque la domanda che mi sorge spontanea è, avendo un router ethernet con altri 2 pc connessi (miei) e considerando che dall'interfaccia del router posso decidere io che servizi avvivare verso l'esterno secondo voi ne ho bisogno? |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Jun 28, 2005 8:31 pm Post subject: |
|
|
| masterbrian wrote: | Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?
Ecco, iptables e' moooooooooolto di piu' Ti permette di fare tanti bei giochini.
Suvvia, non siamo riduttivi! |
beh, certo... però lui aveva chiesto per un desktop... per come la vedo io, le cose che dici te, su un desktop, sono solo esercizi di stile; nulla di più
ma ripeto... è una mia idea |
|
| Back to top |
|
|
Josuke
Veteran
Joined: 07 May 2003
Posts: 1175
Location: Italy - Bolzano
|
| Posted: Tue Jun 28, 2005 10:29 pm Post subject: |
|
|
| k.gothmog wrote: | | masterbrian wrote: | Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?
Ecco, iptables e' moooooooooolto di piu' Ti permette di fare tanti bei giochini.
Suvvia, non siamo riduttivi! |
beh, certo... però lui aveva chiesto per un desktop... per come la vedo io, le cose che dici te, su un desktop, sono solo esercizi di stile; nulla di più
ma ripeto... è una mia idea |
concordo...e secondo me comunque l'esercizio aiuta , il fatto è questo...per una macchina desk senza servizi...bisogna comunque prima preoccuparsi che servizi inutili aprano porte altrettanto inutili...una volta chiuso tutto il superfluo..si può anche creare un piccolo firewall..comunque di dubbia utilità per la macchina..ma sicuramente utile per imparare un passaggio fondamentale del mondo linux ossia il funzionamaneto di iptalbes
_________________
fletto i muscoli...e sono nel vuoto |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
|
| Back to top |
|
|
masterbrian
Guru
Joined: 13 Feb 2004
Posts: 461
|
| Posted: Fri Jul 01, 2005 8:05 am Post subject: |
|
|
Se poi proprio non vuoi imparare il funzionamento di iptables (sconsigliato) o di netfilter, potresti provare ad usare kmyfirewall se scegli come desktop kde. E' una interfaccia per iptables che ti fa alcune domande molto semplici e generali e poi genera automaticamente una configurazione di firewall adatta alle tue esigenze, che poi puoi far partire automaticamente ad ogni avvio del tuo desktop.
Attenzione che se non ricordo male il pacchetto e' mascherato in portage
_________________
[img:f6b0c3bcba]http://www.danasoft.com/sig/MasterBrian.jpg[/img:f6b0c3bcba] |
|
| Back to top |
|
|
|
Forum italiano (Italian)
