iptables (Multi connessioni)

[lucisetti]

... non devo fare nulla di particolare, dovrei soltanto tenere disponibili le porte più comuni (es. 21,25,110 ecc.) per quanto riguarda tutto il resto deve essere veramente un muro di fuoco.

... ah dimenticavo, credo che il MASQUERADING l'abbia capito bene perciò mi piacerebbe anche usarlo.

Lucia

[neryo]

codice:

#
# Creo la catena tcpbuono
#

$IPTABLES -N tcpbuono

#
# Appendo le regole a tcpbuono
#


# FTP
$IPTABLES -A tcpbuono -d $MY_IP_ADDRESS -p tcp -m tcp --dport 20 -j ACCEPT
$IPTABLES -A tcpbuono -d $MY_IP_ADDRESS -p tcp -m tcp --dport 21 -j ACCEPT
$IPTABLES -A tcpbuono -s $MY_IP_ADDRESS -p tcp -m tcp --sport 20 -j ACCEPT
$IPTABLES -A tcpbuono -s $MY_IP_ADDRESS -p tcp -m tcp --sport 21 -j ACCEPT

# SSH
$IPTABLES -A tcpbuono -d $MY_IP_ADDRESS -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -A tcpbuono -s $MY_IP_ADDRESS -p tcp -m tcp --sport 25 -j ACCEPT

# HTTP and HTTPS
$IPTABLES -A tcpbuono -d $MY_IP_ADDRESS -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A tcpbuono -s $MY_IP_ADDRESS -p tcp -m tcp --sport 80 -j ACCEPT

# POP 3
$IPTABLES -A tcpbuono -d $MY_IP_ADDRESS -p tcp -m tcp --dport 110 -j ACCEPT
$IPTABLES -A tcpbuono -s $MY_IP_ADDRESS -p tcp -m tcp --sport 110 -j ACCEPT


$IPTABLES -A tcpbuono -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

# mantengo le connessioni già stabilite
$IPTABLES -A tcpbuono -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

# logs
$IPTABLES -A tcpbuono -i $NET_IFACE -p tcp -j LOG --log-prefix "tcpbuono drop:"

# il resto lo debello
$IPTABLES -A tcpbuono -p tcp -j DROP


#
# Creo la catena udpbuono
#

$IPTABLES -N udpbuono

#
# Appendo le regole a udpbuono
#

$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 20 -j ACCEPT
$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 21 -j ACCEPT
$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 25 -j ACCEPT
$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 80 -j ACCEPT
$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 110 -j ACCEPT
$IPTABLES -A udpbuono -d $MY_IP_ADDRESS -p udp -m udp --dport 53 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 53 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 20 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 21 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 25 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 80 -j ACCEPT
$IPTABLES -A udpbuono -s $MY_IP_ADDRESS -p udp -m udp --sport 110 -j ACCEPT
#$IPTABLES -A udpbuono -p udp -m udp --udp-flags SYN,RST,ACK SYN -j ACCEPT
$IPTABLES -A udpbuono -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A udpbuono -i $NET_IFACE -p udp -j LOG --log-prefix "udpbuono drop:"
$IPTABLES -A udpbuono -p udp -j DROP


#
# Imposto il firewall in modo che INPUT passi sulle catene
#

$IPTABLES -A INPUT -i $NET_IFACE -p tcp -j tcpbuono
$IPTABLES -A INPUT -i $NET_IFACE -p udp -j udpbuono

Eccoti le catene con le porte piu comuni.. poi te lo modifichi come vuoi..

[Boromir]

iptables funziona così :
per ora lasciando stare le tabelle di
MANGLE, PREROUTIG e POSTROUTING , ti ritrovi con INPUT , OUTPUT e FORWARD.


Allora
INPUT tutte le connessioni in ingresso alla macchina
OUTPUT tutte le connessioni in uscita dalla macchina
FORWARD tutte le connessioni in transito dalla macchina.

Logicamente un Firewall dovra avere come policy di tutte le connessioni chiuse :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

dopodichè abiliteremo le connessioni di loopback e dalla rete interna (trustata) le connessioni in ingresso
eth0 = sk verso la tua rete
192.168.0.0/24 = la tua rete interna


iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0..0/255.255.255.0 -j ACCEPT

ora abiliteremo tutto il traffico da e verso la tua rete interna verso l'esterno tramite la regola ESTABLISHED,RELATED che accetta il traffico in ingrasso solo se la sessione è stata aperta da un client interno


iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -p tcp --dport 80 -j ACCEPT


chiaro no ??

[lucisetti]

... mi sto ancora raccogliendo i denti da terra ...

grz

Lucia

[neryo]

Originariamente inviato da lucisetti
... mi sto ancora raccogliendo i denti da terra ...

Se hai ancora bisogno posta pure!

[lucisetti]

gentilissimi.

[Boromir]

mi raccomando non ti dimenticare di abilitare il FORWARD dei pacchetti (non c'entra niente il forward di iptables )


echo "1" > /proc/sys/net/ipv4/ip_forward

buon divertimento

[lucisetti]

si si il forwarding ho imparato bene cos'è, l'ultima cosa che non mi convince bene è il seguente comando:

iptables –t nat –A POSTROUTING –o eth1 –j SNAT --to-source eth0 MASQUERADE

Secondo voi (prima di fare danni) è corretto ?

[neryo]

Direi di si.. ma eht1 è la tua interfaccia connessa a internet? Ma poi comunque potresti usare un semplice..

codice:

iptables –t nat –A POSTROUTING –o eth1 –j  MASQUERADE

[lucisetti]

si eth1 è la mia scheda connessa ad internet.

quindi se ho ben capito la parola SNAT è l'equivalente di MASQUERADE.

Lucia