[Tip] Uno script di init per iptables

Message

iridium103 · Post by **iridium103** » Mon Jun 27, 2005 5:15 pm

Cazzantonio wrote:che cosa ci passa da quelle interfacce?
Il modo corretto è scrivere regole per ogni interfaccia... (penso... non ho mai messo un firewall su più di un interfaccia esterna....), altrimenti se non specifichi l'interfaccia da filtrare iptables te le filtra tutte (nel caso dello script sopra devi settare IFACE="")

allora, su due ip passa un dns +mail server (nel senso che qmail è configurato per ascoltare su tutte le if.. e il dns smista un pò di qua un pò di là (direttiva A secondo il dominio)), sulla seconda un webserver+mailserver backup e sull'altra, quella locale, passa tutto..ovviamente per la rete locale..

comunque poi, appena ho un pò di tempo libero provo la storia dell' IFACE=""...

ti saprò dire..
grazie per la risposta.. sai non ci speravo, è che da un paio di mesi che lurko qua è la.. mi aspettavo un RTFM.. gh.

.:chrome:. · Post by **.:chrome:.** » Mon Jun 27, 2005 5:54 pm

ho quasi paura a fare questa domanda: non vorrei si scatenasse un flame...
ma mi dite che senso ha fare uno script di avvio per il firewall?
non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall

randomaze · Post by **randomaze** » Tue Jun 28, 2005 7:43 am

k.gothmog wrote:ma mi dite che senso ha fare uno script di avvio per il firewall?

E' sicuramente più comodo per chi non mastica benissimo IPT.

non si possono scrivere le regole in /var/lib/iptables/rules-save? sarebbe un enorme risparmio di tempo, e mette al sicuro dai potenziali errori di scrittura del firewall

Il risparmio di tempo ci sarebbe sicuramente, se enorme o lieve dipende dalla complessità dello script.

In quanto ai potenziali errori... beh, spero che chi fa uno script (per il firewall ma anche per rinominare .mp3) normalmente lo testi prima di usarlo!

.:chrome:. · Post by **.:chrome:.** » Tue Jun 28, 2005 8:23 pm

randomaze wrote:
k.gothmog wrote:ma mi dite che senso ha fare uno script di avvio per il firewall?
E' sicuramente più comodo per chi non mastica benissimo IPT.

ma alla fine, nello script andrebbero le stesse regole che si mettono nel file.
non so... forse è un'idea mia, ma in quel file ci va l'output di iptables-save... è la cosa più intuitiva che ci sia, credo.
ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.
non sei d'accordo?

Cazzantonio · Post by **Cazzantonio** » Wed Jun 29, 2005 1:19 pm

k.gothmog wrote:ovvio che se uno non sa la sintassi di iptables non ci capisce niente, però di certo non sarebbe nemmneo in grado di creare uno script.non sei d'accordo?

Infatti questo script è stato scritto come esempio (per chi ha intenzione di avvicinarsi ad iptables, di scrivere regole sue oppure di utilizzare un firewall minimale con delle regole ragionevoli... se ne fai uso professionale ovvio che magari ci metti le mani da solo)

Inoltre, come già detto, secondo me lo script di init è più interattivo (possibilità di passagli opzioni varie...)

Simbul · Post by **Simbul** » Sun Jul 17, 2005 1:36 pm

Ho preso ampiamente ispirazione da questo script per realizzare il mio iptables. Ora però mi logga continuamente messaggi del genere:

Code: Select all

Jul 17 15:24:30 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=56278 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 
Jul 17 15:24:36 tux FW: Dropped:IN=eth0 OUT= MAC=*** SRC=1.255.*** DST=1.255.*** LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=57363 DF PROTO=TCP SPT=4497 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0

Altre volte mi logga messaggi come questo:

Code: Select all

Jul 17 15:31:27 tux FW: Bad packet:IN=eth0 OUT= MAC=*** SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 PROTO=2

Si tratta di attacchi oppure sono cose che andrebbero lasciate passare? Sono nella rete Fastweb: non vorrei bloccare qualche pacchetto che l'HAG usa per i suoi comodi

PS nel primo caso il pacchetto è droppato perchè ho chiuso la porta 139. Nel secondo caso è "colpa" della regola che nello script si chiama connessioni_avviate.

power83 · Post by **power83** » Wed Jul 20, 2005 11:17 pm

e per fare il FORWARD?

Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.

Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?

come impostarlo?

Stavo pensando di dare un ACCEPT alla FORWARD sul computer con connessione, e l'altro come lo potrei configurare?

shev · Post by **shev** » Thu Jul 21, 2005 7:04 am

power83 wrote:Mi spiego: ho un computer con connessione ad Internet che voglio condividere con un altro nella mia rete locale.

Penso che iptables dovrebbe bastare se impostato correttamente, senza un proxy, giusto?

come impostarlo?

Cerca "IP MASQUERADING" sul forum o su google, il tutto si riduce a una/due regole di iptables. Non sto a scrivertela perchè esistono davvero validi howto in rete e sicuramente una loro lettura può risutarti più utile che un passivo copia e incolla della regoletta.

power83 · Post by **power83** » Thu Jul 21, 2005 8:23 am

ok grazie

power83 · Post by **power83** » Fri Jul 22, 2005 10:32 am

risolto, consiglio questa guida veloce e semplice:

http://www.faqs.org/docs/linux_network/ ... ation.html

power83 · Post by **power83** » Fri Aug 19, 2005 10:32 pm

Domanda: ma che senso ha controllare il traffico in uscita (vedi ad esempio HTTP/HTTPS) se tanto prima abbiamo dettoche facciamo uscire tutto?

Tra l'altro le catene syn_flood e http_out non sono applicate a nulla!!!!!!!!!!!!!!!!!!!!!

Non capisco.......

Cazzantonio · Post by **Cazzantonio** » Fri Aug 19, 2005 11:06 pm

Beh... quello era il mio esempio di script personalizzato...
C'erano regole e catene definite e poi non applicate perché non mi servivano, del resto l'avevo scritto un'ora prima e anche poco testato...
Del resto avevo detto all'inizio del post che era solo un esempio

Crea le regole che preferisci e applicale pure come ti pare

P.S.
delle catene in uscita nessuna era applicata...
la protezione dai syn-flood mi crea più problemi che altro per cui solitamente non la metto... del resto chi se ne frega dei syn-flood...

power83 · Post by **power83** » Fri Aug 19, 2005 11:22 pm

ok, vero.

MA che senso ha applicare delle restrinzioni sul traffico in uscita?

Cazzantonio · Post by **Cazzantonio** » Sat Aug 20, 2005 10:54 am

Se vuoi filtrare il traffico in uscita evidentemente devi mettere delle restrizioni in uscita... se non lo vuoi filtrare non mettere...
E poi ripeto: "erano delle regole di esempio scritte abbastanza velocemente"
Posso quindi rigirarti la questione e chiederti "che senso ha la tua domanda?"

power83 · Post by **power83** » Sat Aug 20, 2005 1:17 pm

La mia domanda ha senso xke' nel tuo esempio ci sono catene x traffico in uscita che non vengono applicate, quindi non capivo se avevi dimenticato qualcosa o no..

cmq ora ne sto facendo uno mio (molto cpiato dal tuo) ma con alcuni miglioramenti di applicazione, cioe' di funzionamento.
Appena pronto lo posto cosi' mi dici che ne pensi ed eventuali correzioni/miglioramenti.

Cazzantonio · Post by **Cazzantonio** » Sat Aug 20, 2005 1:24 pm

ok

Nelle mie intenzioni iniziali c'era proprio la volontà di riunire in un solo post tutti i vari esempi, tip e consigli vari per la creazione di un firewall casalingo personalizzato

GiRa · Post by **GiRa** » Mon Aug 22, 2005 9:09 am

Con le regole postate sopra non riesco ad ottenere il logging dei port scan.

E' una questione di linea? Devo giocare sul packet flow rate?

@Cazzantonio: ti ricordi dove hai trovato quel codice? Se mi leggo la teoria che c'è dietro probabilmente risolvo per conto mio.

Cazzantonio · Post by **Cazzantonio** » Mon Aug 22, 2005 10:44 am

la teoria dietro è "man iptables"

potrebbe essere un problema del tuo logger? cosa usi?

comio · Post by **comio** » Mon Aug 22, 2005 12:27 pm

GiRa wrote:Con le regole postate sopra non riesco ad ottenere il logging dei port scan.

questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".

ciao

neryo · Post by **neryo** » Mon Aug 22, 2005 1:54 pm

comio wrote:
GiRa wrote:Con le regole postate sopra non riesco ad ottenere il logging dei port scan.
questo è lavoro più per snort che per iptables. Ricordo solo una cosa... il compito principale di iptables è filtrare (netfilter non per nulla)... l'individuazione di attacchi è un compito più da IDS (quindi snort).
Iptables è comunque abbastanza flessibile da permettere funzioni basilari di ids... ma sottolineo il "basilari".

se vuoi un ids eveluto che comprende non solo sensori di rete potresti provare prelude ids è un ids ibrido, si interfaccia anche a snort volendo e puo essere anche usato in sistemi distribuiti.. io durante un esame di lab. di reti l avevo provato ed è molto efficiente.. poi esiste anche una buona documentazione per gentoo http://www.gentoo.org/proj/en/hardened/prelude-ids.xml

Ma sicuramente ti basta meno..

GiRa · Post by **GiRa** » Mon Aug 22, 2005 3:13 pm

E' un lavoro che faccio per degli esterni che non sanno nulla di Linux (però sanno quanto costa una licenza di MS ISA Server) quindi meno roba metto da amministrare e meglio è.
Se riesco a fornire un minimo di rilevazione di scansione con iptables + syslog + logwatch bene altrimenti non è una cosa necessaria.

Non credo che la teoria sia in man iptables perchè non mi pare un posto dove mettere i flag del segmento TCP utilizzati dai vari tipi di portscannig.

Cazzantonio · Post by **Cazzantonio** » Mon Aug 22, 2005 4:13 pm

beh... non ricordo dove ho trovato le indicazioni su quali flag guardare per intercettare determinati tipi di portscan... penso su google... oppure tra la documentazione gentoo... non ricordo di preciso...

power83 · Post by **power83** » Mon Aug 22, 2005 5:04 pm

Se metto queste regole:

Code: Select all

			 $IPTABLES -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
			 $IPTABLES -A syn_flood -p tcp --syn -j DROP
			 $IPTABLES -A syn_flood -p tcp ! --syn -j ACCEPT

e poi faccio

Code: Select all

  $IPTABLES -A INPUT -j syn_flood
$IPTABLES -A INPUT -j altra_catena

i pacchetti su altra_catena non ci arrivano mai xke' sono automaticamente accettati considerando l'ultima regola delal catena syn_flood???

EDIT: altra domanda.

Se definisco uan regola per un'interfaccia in ingresso (opzione -i) su una porta xxx, e una regola per la stessa interfaccia sulla stessa porta, ma in uscita (opzione -o), posso in questo caso decidere di accettare solo il traffico in entrata da quella interfaccia su quella porta, senza permettere che esse stessa - sulla stessa porta - faccai uscire traffico???

Cazzantonio · Post by **Cazzantonio** » Tue Aug 23, 2005 7:14 am

O bella.... si hai ragione...
Non me ne ero mai accorto perché non l'avevo mai usata.... prendete con le pinze lo script personalizzato perché è stato fatto parecchio a cazzo

per la seconda domanda direi proprio di si

pistodj · Post by **pistodj** » Wed Aug 24, 2005 12:35 pm

scusate stavo ora analizzando l'ottimo tip dato che mi trovo ad averne bisogno e mi stavo chiedendo se è corretto lashiare la policy in OUTPUT settata su ACCEPT.
Non sarebbe meglio fare una verifica per chiudere cmq le porte e correre cmq meno rischi? O basta solitamente vare il chek su l'imput?

Grazie Ciao!!