Pagina 1 di 1
Interfaccia per configurare firewall o IpTables a mano?
Inviato: ven 3 apr 2009, 19:54
da sberla54
Ciao a tutti!
Vorrei riconfigurare il mio personal firewall su Slackware 12.2, senza perderci una vita, ma in maniera abbastanza precisa da sentirmi al sicuro, e non so se rivolgermi ad un qualche front-end grafico o imparare a configurare IpTables a mano.
Fino ad oggi, seguendo la Slackware4Dummies, ho sempre utilizzato l'interfaccia GuardDog, che pero' non mi e' mai piaciuta piu' di tanto: non e' molto chiaro il suo funzionamento, e' identico a se stesso da anni ed anni e poi non offre molte features avanzate, nel caso in cui le volessi usare.
L'unica altra alternativa che mi e' venuta in mente e' FireStarter, che pero' non ho mai usato. Com'e'? Ne vale la pena?
E' sempre una semplice gui di configurazione di Iptables, come GuardDog, o e' un simil personal firewall alla Windows, che si esegue all'avvio e rimane li in esecuzione?
Perche' io vorrei una gui di iptables....
Ho chiesto questa stessa cosa su IRC, nel chan di Slacky ed in altri chan su slackware e mi hanno tutti detto che configurano IpTables a mano, senza metterci neanche piu' di tanto; a me piacerebbe imparare a manipolare Iptables da livello piu' basso e preciso possibile, pero' fino ad oggi non mi ci sono mai messo e non e' proprio un periodo in cui ho molto tempo libero.
E' lungo da imparare?
Avete qualche buona guida da consigliarmi?
Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?
Io fondamentalmente vorrei mantenere la tipologia di firewall che usavo con GuardDog, ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....permettere MSN, bloccare Telnet, permettere eMule ecc ecc
Non ho bisogno di particolari settaggi avanzati, anche se vorrei uno strumento che mi permettesse di utilizzarli, nel caso...
Inoltre, una volta configurato il firewall, vorrei qualche dritta per controllarne la solidita'...il numero delle porte aperte, i servizi che risultano ancora accessibili dall'esterno eccetera....mi potreste dare una mano?
Grazie in anticipo...come sempre!
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: ven 3 apr 2009, 20:39
da NetNightmare
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: ven 3 apr 2009, 20:45
da navajo
Domandare qui, se vale la pena imparare e usare uno script iptables è come chiedere all' oste se il vino è buono

A parte gli scherzi, creare un firewall ad hoc, per un desktop non è difficilissimo, e non servono molte regole. Sul forum ci sono molti thread al riguardo, compresi esempi. Per la guida, io ho iniziato con le guide di openskil:
http://openskill.info/browse.php
Naturalmente sul sito di netfilter cè dell' ottimo materiale :
http://www.netfilter.org/documentation/index.html#HOWTO
Senza contare poi la soddisfazione di fare da se il propio firewall
EDIT: mi hanno preceduto
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: ven 3 apr 2009, 20:55
da danix
Io l'ho configurato da qualche giorno, mi hanno aiutato sia su #slackware che su #sardylan, all'inizio pensavo anche io che fosse chissà quanto difficile, ma poi ho capito che in realtà non si tratta di nulla di complicato o trascendentale... basta stare attenti a ciò che si scrive...
Ti posto il mio firewall (lo uso sul server che mi fa da gateway e che offre alcuni servizi all'esterno), è molto basilare e anche commentato, quindi non dovrebbe essere difficile da capire, magari prendilo come spunto, segui una delle guide che ti hanno consigliato e cerca di capire il mio FW cosa fa, vedrai che il resto viene da se...
Codice: Seleziona tutto
$ cat /etc/rc.d/rc.firewall
#!/bin/bash
SW_VERB="-v"
# blocco il forwarding dei pacchetti
sh /etc/rc.d/rc.ip_forward stop
# cancello tutte le regole precedenti (nel caso ci fossero)
# e tutte le catene di regole "user defined"
/usr/sbin/iptables -F $SW_VERB
/usr/sbin/iptables -t nat -F $SW_VERB
/usr/sbin/iptables -t mangle -F $SW_VERB
/usr/sbin/iptables -X $SW_VERB
/usr/sbin/iptables -t nat -X $SW_VERB
/usr/sbin/iptables -t mangle -X $SW_VERB
# stabilisco un set standard di regole abbastanza rigido:
# drop sia in input che in forward, accept in output
/usr/sbin/iptables -P INPUT DROP $SW_VERB
/usr/sbin/iptables -P OUTPUT ACCEPT $SW_VERB
/usr/sbin/iptables -P FORWARD DROP $SW_VERB
# permetto tutto il traffico su loopback
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT $SW_VERB
# permetto il traffico in entrata da eth1
/usr/sbin/iptables -A INPUT -i eth1 -j ACCEPT $SW_VERB
# permetto il traffico necessario (già stabilito o richiesto) su ppp0
/usr/sbin/iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# Blocco i ping dall'esterno
#/usr/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j DROP $SW_VERB
# regole per il forwarding
# permetto il traffico dall'esterno a patto che sia stato richiesto
/usr/sbin/iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT $SW_VERB
# permetto tutto il traffico in uscita dalla lan su internet
/usr/sbin/iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT $SW_VERB
# Abilito il masquerading del server
/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE $SW_VERB
# abilito la porta 8022 per ssh sulla lan - REGOLA NON NECESSARIA IN QUANTO DEFINITA PRECEDENTEMENTE
#/usr/sbin/iptables -A INPUT -i eth1 -p tcp --dport 8022 -j ACCEPT $SW_VERB # SSH sulla lan interna
# permetto le connessioni dall'esterno alla porta 80 per apache
/usr/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $SW_VERB # HTTPD
# permetto le connessioni udp dall'esterno alla porta di UrbanTerror
/usr/sbin/iptables -A INPUT -i ppp0 -p udp --dport 27960 -j ACCEPT $SW_VERB # URBAN TERROR e OPENARENA
# azzero i contatori delle varie chains
/usr/sbin/iptables -Z $SW_VERB
/usr/sbin/iptables -t nat -Z $SW_VERB
/usr/sbin/iptables -t mangle -Z $SW_VERB
sh /etc/rc.d/rc.ip_forward start
# no IP spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i
done
fi
# Disable Source Routed Packets
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $i
done
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: ven 3 apr 2009, 21:33
da NetNightmare
sberla54 ha scritto:
Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?
e' possibile dipende da quanto e' basilare quello che vuoi
sberla54 ha scritto: ovvero filtrare i pacchetti in base ai protocolli che li utilizzano....
io per protocollo intendo per esempio il TCP/IP forse intendi dire porte (che poi dall'inglese port che non significa porte ma sto divagando)??
sberla54 ha scritto:permettere MSN,
ti preannuncio che per bloccare MSN non basta usare un firewall dovresti usare anche un proxy come minimo quindi a meno che tu non chiuda la porta 80 e' abilitato se non hai un proxy
sberla54 ha scritto: bloccare Telnet,
perche' ? hai installato sulla tua macchina un server telnet ?????? no dovresti diciamocelo comunque basta bloocare la porta tcp 23
sberla54 ha scritto: permettere eMule ecc ecc
apri le porte 4662 e 4661 UDP e TCP
Se vuoi vedere che porte hai paerte puoi provare
http://www.grc.com/x/ne.dll?rh1dkyd2
comunque per restare sul semplice ti consigli di bloccare tutto e aprire solo le porte necessarie ( KISS rule)
ciao !!!
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: sab 4 apr 2009, 12:32
da conraid
sberla54 ha scritto:
Com'e' possibile che si possa configurare il firewall con 3 o 4 comandi di Iptables, come mi hanno detto su IRC?
http://www.netfilter.org/documentation/ ... WTO-5.html
Per le guide:
http://www.netfilter.org/documentation
http://iptables-tutorial.frozentux.net/
Per un interfaccia grafica più "seria" di quelle citate:
http://www.fwbuilder.org
ma alla fine per cose semplici è più "difficile" imparare l'interfaccia grafica che i pochi comandi necessari
Re: Interfaccia per configurare firewall o IpTables a mano?
Inviato: sab 4 apr 2009, 13:41
da shark1500
Generalmente creare un firewall per una rete casalinga (come ormai hanno gia` detto tutti) e` abbastanza semplice: ti metti li` un pomeriggio con le idee ben chiare e lo fai.
Volevo solo dire che si sta sviluppando un altro set di tool che sostituira` iptables e si chiama nftables, ma per ora non e` ancora ufficiale (anche se sono gia` uscite delle release stabili).