View previous topic :: View next topic |
Author |
Message |
iridium103 Tux's lil' helper
Joined: 08 Mar 2004 Posts: 104 Location: Treviso
|
Posted: Mon Jun 27, 2005 5:15 pm Post subject: |
|
|
Cazzantonio wrote: | che cosa ci passa da quelle interfacce?
Il modo corretto è scrivere regole per ogni interfaccia... (penso... non ho mai messo un firewall su più di un interfaccia esterna....), altrimenti se non specifichi l'interfaccia da filtrare iptables te le filtra tutte (nel caso dello script sopra devi settare IFACE="") |
allora, su due ip passa un dns +mail server (nel senso che qmail è configurato per ascoltare su tutte le if.. e il dns smista un pò di qua un pò di là (direttiva A secondo il dominio)), sulla seconda un webserver+mailserver backup e sull'altra, quella locale, passa tutto..ovviamente per la rete locale..
comunque poi, appena ho un pò di tempo libero provo la storia dell' IFACE=""...
ti saprò dire..
grazie per la risposta.. sai non ci speravo, è che da un paio di mesi che lurko qua è la.. mi aspettavo un RTFM.. gh. _________________ Imagination is more important than knowledge.
Albert Einstein |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Mon Jun 27, 2005 5:54 pm Post subject: |
|
|
ho quasi paura a fare questa domanda: non vorrei si scatenasse un flame...
ma mi dite che senso ha fare uno script di avvio per il firewall?
non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall |
|
Back to top |
|
|
randomaze Bodhisattva
Joined: 21 Oct 2003 Posts: 9985
|
Posted: Tue Jun 28, 2005 7:43 am Post subject: |
|
|
k.gothmog wrote: | ma mi dite che senso ha fare uno script di avvio per il firewall? |
E' sicuramente più comodo per chi non mastica benissimo IPT.
Quote: | non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall |
Il risparmio di tempo ci sarebbe sicuramente, se enorme o lieve dipende dalla complessità dello script.
In quanto ai potenziali errori... beh, spero che chi fa uno script (per il firewall ma anche per rinominare .mp3) normalmente lo testi prima di usarlo! _________________ Ciao da me! |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Jun 28, 2005 8:23 pm Post subject: |
|
|
randomaze wrote: | k.gothmog wrote: | ma mi dite che senso ha fare uno script di avvio per il firewall? |
E' sicuramente più comodo per chi non mastica benissimo IPT. |
ma alla fine, nello script andrebbero le stesse regole che si mettono nel file.
non so... forse è un'idea mia, ma in quel file ci va l'output di iptables-save... è la cosa più intuitiva che ci sia, credo.
ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.
non sei d'accordo? |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Wed Jun 29, 2005 1:19 pm Post subject: |
|
|
k.gothmog wrote: | ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.non sei d'accordo? |
Infatti questo script è stato scritto come esempio (per chi ha intenzione di avvicinarsi ad iptables, di scrivere regole sue oppure di utilizzare un firewall minimale con delle regole ragionevoli... se ne fai uso professionale ovvio che magari ci metti le mani da solo)
Inoltre, come già detto, secondo me lo script di init è più interattivo (possibilità di passagli opzioni varie...) _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
Simbul Tux's lil' helper
Joined: 31 Oct 2004 Posts: 113
|
Posted: Sun Jul 17, 2005 1:36 pm Post subject: |
|
|
Ho preso ampiamente ispirazione da questo script per realizzare il mio iptables. Ora però mi logga continuamente messaggi del genere:
Code: | Jul 17 15:24:30 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=56278 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 17 15:24:36 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=57363 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 |
Altre volte mi logga messaggi come questo:
Code: | Jul 17 15:31:27 tux FW: Bad packet:IN=eth0 OUT= MAC=*** SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 PROTO=2 |
Si tratta di attacchi oppure sono cose che andrebbero lasciate passare? Sono nella rete Fastweb: non vorrei bloccare qualche pacchetto che l'HAG usa per i suoi comodi
PS nel primo caso il pacchetto è droppato perchè ho chiuso la porta 139. Nel secondo caso è "colpa" della regola che nello script si chiama connessioni_avviate. _________________ Simbul
There's only 10 types of people in the world,
Those who understand binary and those who don't |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Wed Jul 20, 2005 11:17 pm Post subject: |
|
|
e per fare il FORWARD?
Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.
Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?
come impostarlo?
Stavo pensando di dare un ACCEPT alla FORWARD sul computer con connessione, e l'altro come lo potrei configurare? |
|
Back to top |
|
|
shev Bodhisattva
Joined: 03 Feb 2003 Posts: 4084 Location: Italy
|
Posted: Thu Jul 21, 2005 7:04 am Post subject: |
|
|
power83 wrote: | Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.
Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?
come impostarlo? |
Cerca "IP MASQUERADING" sul forum o su google, il tutto si riduce a una/due regole di iptables. Non sto a scrivertela perchè esistono davvero validi howto in rete e sicuramente una loro lettura può risutarti più utile che un passivo copia e incolla della regoletta. _________________ Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Thu Jul 21, 2005 8:23 am Post subject: |
|
|
ok grazie |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Fri Aug 19, 2005 10:32 pm Post subject: |
|
|
Domanda: ma che senso ha controllare il traffico in uscita (vedi ad esempio HTTP/HTTPS) se tanto prima abbiamo dettoche facciamo uscire tutto?
Tra l'altro le catene syn_flood e http_out non sono applicate a nulla!!!!!!!!!!!!!!!!!!!!!
Non capisco....... |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Fri Aug 19, 2005 11:06 pm Post subject: |
|
|
Beh... quello era il mio esempio di script personalizzato...
C'erano regole e catene definite e poi non applicate perché non mi servivano, del resto l'avevo scritto un'ora prima e anche poco testato...
Del resto avevo detto all'inizio del post che era solo un esempio
Crea le regole che preferisci e applicale pure come ti pare
P.S.
delle catene in uscita nessuna era applicata...
la protezione dai syn-flood mi crea più problemi che altro per cui solitamente non la metto... del resto chi se ne frega dei syn-flood... _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Fri Aug 19, 2005 11:22 pm Post subject: |
|
|
ok, vero.
MA che senso ha applicare delle restrinzioni sul traffico in uscita? |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Aug 20, 2005 10:54 am Post subject: |
|
|
Se vuoi filtrare il traffico in uscita evidentemente devi mettere delle restrizioni in uscita... se non lo vuoi filtrare non mettere...
E poi ripeto: "erano delle regole di esempio scritte abbastanza velocemente"
Posso quindi rigirarti la questione e chiederti "che senso ha la tua domanda?" _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Sat Aug 20, 2005 1:17 pm Post subject: |
|
|
La mia domanda ha senso xke' nel tuo esempio ci sono catene x traffico in uscita che non vengono applicate, quindi non capivo se avevi dimenticato qualcosa o no..
cmq ora ne sto facendo uno mio (molto cpiato dal tuo) ma con alcuni miglioramenti di applicazione, cioe' di funzionamento.
Appena pronto lo posto cosi' mi dici che ne pensi ed eventuali correzioni/miglioramenti. |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Aug 20, 2005 1:24 pm Post subject: |
|
|
ok
Nelle mie intenzioni iniziali c'era proprio la volontà di riunire in un solo post tutti i vari esempi, tip e consigli vari per la creazione di un firewall casalingo personalizzato _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
GiRa l33t
Joined: 07 Apr 2005 Posts: 717
|
Posted: Mon Aug 22, 2005 9:09 am Post subject: |
|
|
Con le regole postate sopra non riesco ad ottenere il logging dei port scan.
E' una questione di linea? Devo giocare sul packet flow rate?
@Cazzantonio: ti ricordi dove hai trovato quel codice? Se mi leggo la teoria che c'è dietro probabilmente risolvo per conto mio. |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Mon Aug 22, 2005 10:44 am Post subject: |
|
|
la teoria dietro è "man iptables"
potrebbe essere un problema del tuo logger? cosa usi? _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
comio Advocate
Joined: 03 Jul 2003 Posts: 2191 Location: Taranto
|
Posted: Mon Aug 22, 2005 12:27 pm Post subject: |
|
|
GiRa wrote: | Con le regole postate sopra non riesco ad ottenere il logging dei port scan. |
questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".
ciao _________________ RTFM!!!!
e
http://www.comio.it
|
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Mon Aug 22, 2005 1:54 pm Post subject: |
|
|
comio wrote: | GiRa wrote: | Con le regole postate sopra non riesco ad ottenere il logging dei port scan. |
questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".
|
se vuoi un ids eveluto che comprende non solo sensori di rete potresti provare prelude ids è un ids ibrido, si interfaccia anche a snort volendo e puo essere anche usato in sistemi distribuiti.. io durante un esame di lab. di reti l avevo provato ed è molto efficiente.. poi esiste anche una buona documentazione per gentoo http://www.gentoo.org/proj/en/hardened/prelude-ids.xml
Ma sicuramente ti basta meno.. _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
GiRa l33t
Joined: 07 Apr 2005 Posts: 717
|
Posted: Mon Aug 22, 2005 3:13 pm Post subject: |
|
|
E' un lavoro che faccio per degli esterni che non sanno nulla di Linux (però sanno quanto costa una licenza di MS ISA Server) quindi meno roba metto da amministrare e meglio è.
Se riesco a fornire un minimo di rilevazione di scansione con iptables + syslog + logwatch bene altrimenti non è una cosa necessaria.
Non credo che la teoria sia in man iptables perchè non mi pare un posto dove mettere i flag del segmento TCP utilizzati dai vari tipi di portscannig. |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Mon Aug 22, 2005 4:13 pm Post subject: |
|
|
beh... non ricordo dove ho trovato le indicazioni su quali flag guardare per intercettare determinati tipi di portscan... penso su google... oppure tra la documentazione gentoo... non ricordo di preciso... _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Mon Aug 22, 2005 5:04 pm Post subject: |
|
|
Se metto queste regole:
Code: |
$IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
$IPTABLES -A syn_flood -p tcp --syn -j DROP
$IPTABLES -A syn_flood -p tcp ! --syn -j ACCEPT
|
e poi faccio
Code: | $IPTABLES -A INPUT -j syn_flood
$IPTABLES -A INPUT -j altra_catena
|
i pacchetti su altra_catena non ci arrivano mai xke' sono automaticamente accettati considerando l'ultima regola delal catena syn_flood???
EDIT: altra domanda.
Se definisco uan regola per un'interfaccia in ingresso (opzione -i) su una porta xxx, e una regola per la stessa interfaccia sulla stessa porta, ma in uscita (opzione -o), posso in questo caso decidere di accettare solo il traffico in entrata da quella interfaccia su quella porta, senza permettere che esse stessa - sulla stessa porta - faccai uscire traffico??? |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Tue Aug 23, 2005 7:14 am Post subject: |
|
|
O bella.... si hai ragione...
Non me ne ero mai accorto perché non l'avevo mai usata.... prendete con le pinze lo script personalizzato perché è stato fatto parecchio a cazzo
per la seconda domanda direi proprio di si _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
pistodj Apprentice
Joined: 26 Jan 2005 Posts: 229
|
Posted: Wed Aug 24, 2005 12:35 pm Post subject: |
|
|
scusate stavo ora analizzando l'ottimo tip dato che mi trovo ad averne bisogno e mi stavo chiedendo se è corretto lashiare la policy in OUTPUT settata su ACCEPT.
Non sarebbe meglio fare una verifica per chiudere cmq le porte e correre cmq meno rischi? O basta solitamente vare il chek su l'imput?
Grazie Ciao!! |
|
Back to top |
|
|
|