devo bloccare le risposte ai ping?

[pepe.carvalho]

ciao, la mia macchina di casa e' collegata via modem (e *non* via router) ad una linea ADSL, che uso in media un'ora al giorno.
Per il resto, e' staccata dalla rete.
comunque, non ho nessun tipo di firewall a proteggerla, al momento.

Non avendo esigenza di usare alcun programma server su questa macchina, ho chiuso TUTTE le porte dall'esterno (comprese X e cups).

Ho fatto un test di sicurezza online (il link l'ho trovato sul forum), che mi ha confermato che tutte le porte sono chiuse (ma non stealth), e tuttavia che la mia macchina risponde ai ping, cosa potenzialmente rischiosa in quanto segnala l'esistenza della macchina ecc.

domanda:
-secondo voi la macchina cosi' e' ok, o e' meglio sistemare anche la faccenda dei ping? come ? aggiungo che sono totalmente digiuno di firewall...

-mi consigliereste anche di installare un firewall? nel caso, mi suggerite qsa di facile da configurare..

[tgmx]

Per bloccare i ping esegui da root:

Codice: Seleziona tutto

iptables -I INPUT -p icmp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

dovrebbe bastare. Sostituisci al posto di ppp0 la tua interfaccia.

devi aver abilitato iptables sul kernel ma se usi quello del cd dovresti essere a posto.

[urka58]

iptables -A INPUT -p icmp -i ppp0 -j REJECT --reject-with host-unreachable
ed eventualmente
iptables -A INPUT -p tcp -i ppp0 -m state --state NEW -j REJECT --reject-with tcp-reset
dovrebbero essere un po' più appropriati.
Verrifica comunque che siano compatibili col tuo eventuale script Firewall.
Ciao

[Paoletta]

Codice: Seleziona tutto

#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

[tgmx]

C'è sempre da imparare...

[pepe.carvalho]

Codice: Seleziona tutto

#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Ho provato con le istruzioni di iptables ma il sistema continuava a rispondere ai ping (essendo inesperto di iptables, forse ho mancato qualche passaggio).
Questa di Paoletta invece ha funzionato ;=)

due domande ancora:
-questa operazione deve essere ripetuta a ogni boot del sistema (quindi devo mettere un'istruzione in rc.local) o basta farla una sola volta?

-se ben capisco, questa istruzione non chiama in ballo iptables, che quindi potrei anche disinstallare... o no?

grazie

[urka58]

iptables -A INPUT -p icmp -i ppp0 -j REJECT --reject-with host-unreachable

è sbagliato (mai fidarsi troppo della memoria)javascript:emoticon(':?')
La regola dovrebbe essere
iptables -A INPUT -p icmp -i ppp0 -j REJECT --reject-with icmp-host-unreachable
Ciao

[Paoletta]

due domande ancora:
-questa operazione deve essere ripetuta a ogni boot del sistema

yes

-se ben capisco, questa istruzione non chiama in ballo iptables, che quindi potrei anche disinstallare... o no?
grazie

potresti disinstallarlo, ma non ne vedo il vantaggio; disinstallando iptables toglieresti un tool per "parlare" con il fw di linux, non il fw vero e proprio (integrato nel kernel)

P.S. come hai fatto a chiudere tutte le porte dall'esterno senza utilizzare iptables e non avendo un router?

[pepe.carvalho]

P.S. come hai fatto a chiudere tutte le porte dall'esterno senza utilizzare iptables e non avendo un router?

Avevo 3 porte aperte: ssh, X (6000) e cups (631), nessuna delle quali mi serviva realmente.

Dunque:
*ssh -> tolto il flag allo script rc.sshd;

*X -> ho seguito questa guida: http://www.archlinux.it/chiudere-la-porta-6000

*cups: in /etc/cups/cupsd.conf, nelle Network Options, ho commentato tutti i Listen e i Port attivi. Poi ho aggiunto la linea:

Codice: Seleziona tutto

 
Listen localhost:631

cosi' adesso ottengo da nmap:

Codice: Seleziona tutto

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) 
All 1680 scanned ports on hostxxx-xx-dynamic.xx-82-r.retail.xxxx
are closed

[Paoletta]

ok grazie, si impara sempre qualcosa di nuovo!

[pepe.carvalho]

ok grazie, si impara sempre qualcosa di nuovo!

grazie a te e agli altri che mi hanno risposto per la dritta sul ping ;=)