Firewall di Linux Pratico

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
Trotto@81
Iper Master
Iper Master
Messaggi: 3558
Iscritto il: sab 26 giu 2004, 0:00
Nome Cognome: Andrea
Slackware: Slackware64 14.2 bet
Kernel: default
Desktop: KDE 4.14.14
Località: Monasterace M. (RC)
Contatta:

Firewall di Linux Pratico

Messaggio da Trotto@81 »

Su linux pratico in un articolo ho trovato queste regole base per un firewall uso casalingo. Ottimo articolo per iniziare da zero per uno come me, e bene o male ci sto già capendo qualcosa!! Come lo trovate?? Vorrei vostri consigli. Anche se a me per default mi piace impostare le policy della chain a DROP e poi aprire le porte strettamente necessarie!!

Codice: Seleziona tutto

#!/bin/bash
IPTABLES="/usr/sbin/iptables"

#Svuoto la tabella delle regole già esistenti
$IPTABLES -F

#Inserimento nella regola INPUT lo --state INVALID per connessioni non esistenti e NEW per tentativi di connessioni dall'esterno.
$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP

#Questa regola permette a computer esterni di effettuare solo operazioni di ping verso la Linux Box.
#$IPTABLES -I INPUT -p icmp -i ppp0 -s 0/0 --icmp-type echo-request -j ACCEPT

#Inserimento nella regola INPUT degli --state INVALID e NEW ma per i pacchetti icmp.
$IPTABLES -I INPUT -p icmp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa regola blocca tutto il traffico udp non richiesto diretto verso la Linux Box.
$IPTABLES -I INPUT -p udp -i ppp0 -m state -s 0/0 --state INVALID,NEW -j DROP

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte tcp assegnate.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT

#Questa regola blocca qualsiasi traffico verso qualsiasi destinazione.
$IPTABLES -A OUTPUT -s 0/0 -j DROP

Avatar utente
Sawk
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: dom 6 feb 2005, 0:00
Località: Pordenone, Italy
Contatta:

Messaggio da Sawk »

ci sono almeno 20 post nell'ultimo tempo che parlano di firewalling......se cerchi nel forum se ne trovano una marea

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun 9 ago 2004, 0:00
Località: Rimini

Re: Firewall di Linux Pratico

Messaggio da Bart »

Trotto@81 ha scritto: #Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT
Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.

Avatar utente
Trotto@81
Iper Master
Iper Master
Messaggi: 3558
Iscritto il: sab 26 giu 2004, 0:00
Nome Cognome: Andrea
Slackware: Slackware64 14.2 bet
Kernel: default
Desktop: KDE 4.14.14
Località: Monasterace M. (RC)
Contatta:

Re: Firewall di Linux Pratico

Messaggio da Trotto@81 »

Bart ha scritto:
Trotto@81 ha scritto: #Questa indica che a qualsiasi indirizzo assegnato alla Linux Box viene consentito collegarsi alla porte udp assegnate. Porta 53 relativa al servizio DNS.
$IPTABLES -A OUTPUT -p tcp -s 0/0 --dport 1:3000 -j ACCEPT
Non mi sembra corretto.
Questa regola abilita il traffico in uscita su protocollo tcp verso un range di porte che vanno dalla 1 alla 3000. Per un uso casalingo, a mio avviso, puoi accettare tranquillamente il traffico in uscita.
Per il resto può andare??

sreview
Linux 1.x
Linux 1.x
Messaggi: 159
Iscritto il: mer 27 lug 2005, 0:00
Nome Cognome: Fabrizio Di Carlo
Slackware: 13.0
Kernel: 2.6.29.6
Desktop: Xfce 4.6.1
Località: Latina
Contatta:

Messaggio da sreview »

trotto ma non potevi postare in sicurezza?

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3974
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

sreview ha scritto:trotto ma non potevi postare in sicurezza?
ho provveduto...
comunque maca la gestione delle policy di default; le mie sono queste:

Codice: Seleziona tutto

iptables -P FORWARD DROP
iptables -P INPUT DROP
OUTPUT la lascio tranquillamente su ACCEPT... se usi queste due regole poi è inutile che chiudi di nuovo così:

Codice: Seleziona tutto

$IPTABLES -I INPUT -p tcp -i ppp0 -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP
devi solo specificare quali porte lasciare aperte;
ciao!

MDS
Linux 1.x
Linux 1.x
Messaggi: 178
Iscritto il: gio 20 mag 2004, 0:00

Messaggio da MDS »

Ho letto quell'articolo e trovo la configurazione un po' prolissa.
Va bene a scopi didattici.... però la sacra regola di Rusty Russel....
"Established Related".

Guarda qui come l'howto ufficiale se la cava e ottiene gli stessi risultati di Linux Pratico.
http://www.netfilter.org/documentation/ ... WTO-5.html

Stimo molto le riviste della Piscopo "Linux & C., Linux Pratico, Hackers & C.".
Anche su Hackers e C. veniva data la soluzione di Rusty Russel.

Insomma, non mi piace molto la soluzione proposta da Linux Pratico.

Ciao :wink:

Outspan
Linux 0.x
Linux 0.x
Messaggi: 14
Iscritto il: mer 28 dic 2005, 12:31

Messaggio da Outspan »

Firewalls... ma ce n'è davvero bisogno? =)

Outspan
Linux 0.x
Linux 0.x
Messaggi: 14
Iscritto il: mer 28 dic 2005, 12:31

Messaggio da Outspan »

Firewalls... ma ce n'è davvero bisogno? =)

Rispondi