Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Tip] Uno script di init per iptables
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4  Next  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools)
View previous topic :: View next topic  
Author Message
iridium103
Tux's lil' helper
Tux's lil' helper


Joined: 08 Mar 2004
Posts: 104
Location: Treviso

PostPosted: Mon Jun 27, 2005 5:15 pm    Post subject: Reply with quote

Cazzantonio wrote:
che cosa ci passa da quelle interfacce?
Il modo corretto è scrivere regole per ogni interfaccia... (penso... non ho mai messo un firewall su più di un interfaccia esterna....), altrimenti se non specifichi l'interfaccia da filtrare iptables te le filtra tutte (nel caso dello script sopra devi settare IFACE="")



allora, su due ip passa un dns +mail server (nel senso che qmail è configurato per ascoltare su tutte le if.. e il dns smista un pò di qua un pò di là (direttiva A secondo il dominio)), sulla seconda un webserver+mailserver backup e sull'altra, quella locale, passa tutto..ovviamente per la rete locale..

comunque poi, appena ho un pò di tempo libero provo la storia dell' IFACE=""...


ti saprò dire..
grazie per la risposta.. sai non ci speravo, è che da un paio di mesi che lurko qua è la.. mi aspettavo un RTFM.. gh.
_________________
Imagination is more important than knowledge.
Albert Einstein
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Jun 27, 2005 5:54 pm    Post subject: Reply with quote

ho quasi paura a fare questa domanda: non vorrei si scatenasse un flame...
ma mi dite che senso ha fare uno script di avvio per il firewall?
non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall
Back to top
View user's profile Send private message
randomaze
Bodhisattva
Bodhisattva


Joined: 21 Oct 2003
Posts: 9985

PostPosted: Tue Jun 28, 2005 7:43 am    Post subject: Reply with quote

k.gothmog wrote:
ma mi dite che senso ha fare uno script di avvio per il firewall?


E' sicuramente più comodo per chi non mastica benissimo IPT.

Quote:
non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall


Il risparmio di tempo ci sarebbe sicuramente, se enorme o lieve dipende dalla complessità dello script.

In quanto ai potenziali errori... beh, spero che chi fa uno script (per il firewall ma anche per rinominare .mp3) normalmente lo testi prima di usarlo!
_________________
Ciao da me!
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Tue Jun 28, 2005 8:23 pm    Post subject: Reply with quote

randomaze wrote:
k.gothmog wrote:
ma mi dite che senso ha fare uno script di avvio per il firewall?

E' sicuramente più comodo per chi non mastica benissimo IPT.

ma alla fine, nello script andrebbero le stesse regole che si mettono nel file.
non so... forse è un'idea mia, ma in quel file ci va l'output di iptables-save... è la cosa più intuitiva che ci sia, credo.
ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.
non sei d'accordo?
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Wed Jun 29, 2005 1:19 pm    Post subject: Reply with quote

k.gothmog wrote:
ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.non sei d'accordo?

Infatti questo script è stato scritto come esempio (per chi ha intenzione di avvicinarsi ad iptables, di scrivere regole sue oppure di utilizzare un firewall minimale con delle regole ragionevoli... se ne fai uso professionale ovvio che magari ci metti le mani da solo)

Inoltre, come già detto, secondo me lo script di init è più interattivo (possibilità di passagli opzioni varie...)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
Simbul
Tux's lil' helper
Tux's lil' helper


Joined: 31 Oct 2004
Posts: 113

PostPosted: Sun Jul 17, 2005 1:36 pm    Post subject: Reply with quote

Ho preso ampiamente ispirazione da questo script per realizzare il mio iptables. Ora però mi logga continuamente messaggi del genere:
Code:
Jul 17 15:24:30 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=56278 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 17 15:24:36 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=57363 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0

Altre volte mi logga messaggi come questo:
Code:
Jul 17 15:31:27 tux FW: Bad packet:IN=eth0 OUT= MAC=*** SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 PROTO=2

Si tratta di attacchi oppure sono cose che andrebbero lasciate passare? Sono nella rete Fastweb: non vorrei bloccare qualche pacchetto che l'HAG usa per i suoi comodi ;)

PS nel primo caso il pacchetto è droppato perchè ho chiuso la porta 139. Nel secondo caso è "colpa" della regola che nello script si chiama connessioni_avviate.
_________________
Simbul
There's only 10 types of people in the world,
Those who understand binary and those who don't
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Wed Jul 20, 2005 11:17 pm    Post subject: Reply with quote

e per fare il FORWARD?

Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.

Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?

come impostarlo?

Stavo pensando di dare un ACCEPT alla FORWARD sul computer con connessione, e l'altro come lo potrei configurare?
Back to top
View user's profile Send private message
shev
Bodhisattva
Bodhisattva


Joined: 03 Feb 2003
Posts: 4084
Location: Italy

PostPosted: Thu Jul 21, 2005 7:04 am    Post subject: Reply with quote

power83 wrote:
Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.

Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?

come impostarlo?


Cerca "IP MASQUERADING" sul forum o su google, il tutto si riduce a una/due regole di iptables. Non sto a scrivertela perchè esistono davvero validi howto in rete e sicuramente una loro lettura può risutarti più utile che un passivo copia e incolla della regoletta.
_________________
Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Thu Jul 21, 2005 8:23 am    Post subject: Reply with quote

ok grazie
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Fri Jul 22, 2005 10:32 am    Post subject: Reply with quote

risolto, consiglio questa guida veloce e semplice:

http://www.faqs.org/docs/linux_network/x-087-2-masq.configuration.html
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Fri Aug 19, 2005 10:32 pm    Post subject: Reply with quote

Domanda: ma che senso ha controllare il traffico in uscita (vedi ad esempio HTTP/HTTPS) se tanto prima abbiamo dettoche facciamo uscire tutto?

Tra l'altro le catene syn_flood e http_out non sono applicate a nulla!!!!!!!!!!!!!!!!!!!!!

Non capisco.......
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Fri Aug 19, 2005 11:06 pm    Post subject: Reply with quote

Beh... quello era il mio esempio di script personalizzato...
C'erano regole e catene definite e poi non applicate perché non mi servivano, del resto l'avevo scritto un'ora prima e anche poco testato...
Del resto avevo detto all'inizio del post che era solo un esempio :wink:
Crea le regole che preferisci e applicale pure come ti pare :wink:

P.S.
delle catene in uscita nessuna era applicata...
la protezione dai syn-flood mi crea più problemi che altro per cui solitamente non la metto... del resto chi se ne frega dei syn-flood...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Fri Aug 19, 2005 11:22 pm    Post subject: Reply with quote

ok, vero.

MA che senso ha applicare delle restrinzioni sul traffico in uscita?
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Sat Aug 20, 2005 10:54 am    Post subject: Reply with quote

Se vuoi filtrare il traffico in uscita evidentemente devi mettere delle restrizioni in uscita... se non lo vuoi filtrare non mettere...
E poi ripeto: "erano delle regole di esempio scritte abbastanza velocemente"
Posso quindi rigirarti la questione e chiederti "che senso ha la tua domanda?"
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Sat Aug 20, 2005 1:17 pm    Post subject: Reply with quote

La mia domanda ha senso xke' nel tuo esempio ci sono catene x traffico in uscita che non vengono applicate, quindi non capivo se avevi dimenticato qualcosa o no..

cmq ora ne sto facendo uno mio (molto cpiato dal tuo) ma con alcuni miglioramenti di applicazione, cioe' di funzionamento.
Appena pronto lo posto cosi' mi dici che ne pensi ed eventuali correzioni/miglioramenti.
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Sat Aug 20, 2005 1:24 pm    Post subject: Reply with quote

ok :D

Nelle mie intenzioni iniziali c'era proprio la volontà di riunire in un solo post tutti i vari esempi, tip e consigli vari per la creazione di un firewall casalingo personalizzato :wink:
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
GiRa
l33t
l33t


Joined: 07 Apr 2005
Posts: 717

PostPosted: Mon Aug 22, 2005 9:09 am    Post subject: Reply with quote

Con le regole postate sopra non riesco ad ottenere il logging dei port scan.

E' una questione di linea? Devo giocare sul packet flow rate?

@Cazzantonio: ti ricordi dove hai trovato quel codice? Se mi leggo la teoria che c'è dietro probabilmente risolvo per conto mio.
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Mon Aug 22, 2005 10:44 am    Post subject: Reply with quote

la teoria dietro è "man iptables" :wink:
potrebbe essere un problema del tuo logger? cosa usi?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
comio
Advocate
Advocate


Joined: 03 Jul 2003
Posts: 2191
Location: Taranto

PostPosted: Mon Aug 22, 2005 12:27 pm    Post subject: Reply with quote

GiRa wrote:
Con le regole postate sopra non riesco ad ottenere il logging dei port scan.

questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".

ciao
_________________
RTFM!!!!

e

http://www.comio.it
:)
Back to top
View user's profile Send private message
neryo
Veteran
Veteran


Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe

PostPosted: Mon Aug 22, 2005 1:54 pm    Post subject: Reply with quote

comio wrote:
GiRa wrote:
Con le regole postate sopra non riesco ad ottenere il logging dei port scan.

questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".


se vuoi un ids eveluto che comprende non solo sensori di rete potresti provare prelude ids è un ids ibrido, si interfaccia anche a snort volendo e puo essere anche usato in sistemi distribuiti.. io durante un esame di lab. di reti l avevo provato ed è molto efficiente.. poi esiste anche una buona documentazione per gentoo http://www.gentoo.org/proj/en/hardened/prelude-ids.xml :wink:
Ma sicuramente ti basta meno.. :roll:
_________________
cache: a safe place for hiding or storing things..

D-link DWL-G650 AirPlus
Apache Php Mysql
Back to top
View user's profile Send private message
GiRa
l33t
l33t


Joined: 07 Apr 2005
Posts: 717

PostPosted: Mon Aug 22, 2005 3:13 pm    Post subject: Reply with quote

E' un lavoro che faccio per degli esterni che non sanno nulla di Linux (però sanno quanto costa una licenza di MS ISA Server) quindi meno roba metto da amministrare e meglio è.
Se riesco a fornire un minimo di rilevazione di scansione con iptables + syslog + logwatch bene altrimenti non è una cosa necessaria.

Non credo che la teoria sia in man iptables perchè non mi pare un posto dove mettere i flag del segmento TCP utilizzati dai vari tipi di portscannig.
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Mon Aug 22, 2005 4:13 pm    Post subject: Reply with quote

beh... non ricordo dove ho trovato le indicazioni su quali flag guardare per intercettare determinati tipi di portscan... penso su google... oppure tra la documentazione gentoo... non ricordo di preciso...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
power83
l33t
l33t


Joined: 28 Nov 2004
Posts: 638

PostPosted: Mon Aug 22, 2005 5:04 pm    Post subject: Reply with quote

Se metto queste regole:

Code:

          $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
          $IPTABLES -A syn_flood -p tcp --syn -j DROP
          $IPTABLES -A syn_flood -p tcp ! --syn -j ACCEPT         


e poi faccio

Code:
  $IPTABLES -A INPUT -j syn_flood
$IPTABLES -A INPUT -j altra_catena


i pacchetti su altra_catena non ci arrivano mai xke' sono automaticamente accettati considerando l'ultima regola delal catena syn_flood???

EDIT: altra domanda.

Se definisco uan regola per un'interfaccia in ingresso (opzione -i) su una porta xxx, e una regola per la stessa interfaccia sulla stessa porta, ma in uscita (opzione -o), posso in questo caso decidere di accettare solo il traffico in entrata da quella interfaccia su quella porta, senza permettere che esse stessa - sulla stessa porta - faccai uscire traffico???
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Tue Aug 23, 2005 7:14 am    Post subject: Reply with quote

O bella.... si hai ragione...
Non me ne ero mai accorto perché non l'avevo mai usata.... prendete con le pinze lo script personalizzato perché è stato fatto parecchio a cazzo :wink:

per la seconda domanda direi proprio di si
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
pistodj
Apprentice
Apprentice


Joined: 26 Jan 2005
Posts: 229

PostPosted: Wed Aug 24, 2005 12:35 pm    Post subject: Reply with quote

scusate stavo ora analizzando l'ottimo tip dato che mi trovo ad averne bisogno e mi stavo chiedendo se è corretto lashiare la policy in OUTPUT settata su ACCEPT.
Non sarebbe meglio fare una verifica per chiudere cmq le porte e correre cmq meno rischi? O basta solitamente vare il chek su l'imput?

Grazie Ciao!!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools) All times are GMT
Goto page Previous  1, 2, 3, 4  Next
Page 2 of 4

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum