Firewall

[Mutato]

Se ti colleghi via adsl la tua interfaccia di rete principale e' quasi sicuramente ppp0 per esserne sicuro dai ifconfig. Se e' ppp0 allora non devi cambiare nulla.

(da root) memorizza lo script in

codice:

/etc/init.d/mio_firewall

e poi dai

chmod +x /etc/init.d/mio_firewall

e poi

update-rc.d mio_firewall defaults

in questo modo partira' all'avvio. Non e' comunque necessario che riavvii la macchina per farlo partire, ti basta fare

codice:

/etc/init.d/mio_firewall

e quelle regole saranno subito attive.

Per approfondire
http://linuxdidattica.org/docs/deb_d...dv/node17.html

Per quanto riguarda le regole succede questo: iptables configurato in quel modo ti permette di navigare come hai sempre fatto. Quando apri una connessione verso l'esterno (mail, web, chat, p2p, etc.) questa sara' in grado di tornare verso di te attraverso il tuo IP (anche se dinamico), sia per le connessioni TCP che UDP.

Mentre nessuno potra' entrare da te, non puo' neppure pingarti (sempre che non ci sia un baco nel kernel eh eh).

Se vuoi aprire qualche porta decommenta le righe tipo

codice:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

e aggiungine altre. Il ping ad esempio e'

codice:

iptables -A INPUT -p icmp -j ACCEPT

La parte dedicata a LOOPBACK invece ti permette ad esempio di usare il tuo web server in locale digitando 127.0.0.1 o localhost o il nome della tua macchina nella barra degli indirizzi.

Come ultima accortezza: devi prima ottenere l'IP e poi far partire lo script. Quindi lo dovresti far partire dopo il modem. Non e' facile spiegarti come perche' non so come e' messa la tua configurazione, la cosa piu' semplice e' che usi questa versione modificata senza IP.

codice:

#! /bin/bash

# Resetta i valori
iptables -F

# Nega tutto
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Accetta i pacchetti che escono
iptables -P OUTPUT ACCEPT

# Permetti ai pacchetti usciti da ppp0 di rientrare
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permetti qualcosa a LOOPBACK
iptables -A INPUT -i lo -p icmp -j ACCEPT
iptables -A INPUT -i lo -p tcp -j ACCEPT
iptables -A INPUT -i lo -p udp -j ACCEPT

# se offri servizi all'esterno...
# apro ssh
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# apro www
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Mostra le configurazioni
iptables -L

[zephyr83]

Grazie tante ma allora perché nn usano tutti questo sistema invece di installare un firewall? Cmq ho risolto il mio problema con guarddog mi è bastato abilitare i protocolli giusti.
Nn ho capito al parte sull'ip.....nn è facile ottenere l'indirizzo ip, cosa cambia fra i due script (con e senza ip)?
Ma cn questo tuo sistema se poi avvio tipo amule gli altri riescono a scaricare da me? e io riesco a scaricare dagli altri? Grazie ancora

[stai_tranquillo]

Originariamente inviato da zephyr83
Grazie tante ma allora perché nn usano tutti questo sistema invece di installare un firewall? Cmq ho risolto il mio problema con guarddog mi è bastato abilitare i protocolli giusti.
Nn ho capito al parte sull'ip.....nn è facile ottenere l'indirizzo ip, cosa cambia fra i due script (con e senza ip)?
Ma cn questo tuo sistema se poi avvio tipo amule gli altri riescono a scaricare da me? e io riesco a scaricare dagli altri? Grazie ancora

perchè i firewall che installi in realtà non sono altro che interfacce grafiche per iptables.

se conosci il funzionamento di iptables non ne hai bisogno (a meno che non voglia avere uno strumento estremamente comodo er editare le regole..)

io per esempio sui server (che non hanno X) mi faccio le rules a mano, ma sul mio desktop di sviluppo uso firestarter che è più comodo

[Mutato]

Originariamente inviato da zephyr83
Grazie tante ma allora perché nn usano tutti questo sistema invece di installare un firewall? Cmq ho risolto il mio problema con guarddog mi è bastato abilitare i protocolli giusti.
Nn ho capito al parte sull'ip.....nn è facile ottenere l'indirizzo ip, cosa cambia fra i due script (con e senza ip)?
Ma cn questo tuo sistema se poi avvio tipo amule gli altri riescono a scaricare da me? e io riesco a scaricare dagli altri? Grazie ancora

1) Tutti usano iptables, ma non tutti ne sono consapevoli: iptables viene nascosto dalle interfacce di questo o quel programma. In questo modo impari ad usare il programma, ma non hai alcuna consapevolezza di quello che fa.

2) Tra i due script sostanzialmente non cambia nulla. Il primo e' leggermente (ma solo leggermente) piu' sicuro, perche' richiede che le regole vengano esplicitamente pilotate dall'IP (che ottieni automaticamente dall'ISP quanto ti connetti, altrimenti non potresti navigare). Il secondo fa si' che sia l'interfaccia di rete (ppp0) a pilotarle.

3) Tu puoi scaricare dagli altri, ma se vuoi che gli altri possano farlo da te devi aggiungere

codice:

iptables -A INPUT -p tcp --dport NUMEROPORTA -j ACCEPT

dove NUMEROPORTA e' quella su cui dialoga emule, tipicamente 4662

[billiejoex]

Bel lavoro.

PS - Sei sicuro che sia necessario questo?

# Permetti ai pacchetti usciti da ppp0 di rientrare
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

[Mutato]

Grazie!

Si` quella riga e' necessaria, poiche` neghi tutte le connessioni INPUT (in entrata), quindi hai bisogno di un modo per far entrare i pacchetti che chiedi.

[zephyr83]

grazie grazie mille.....sarebbe bello poterlo fare anche su windows

[NetEscape]

grazie grazie mille.....sarebbe bello poterlo fare anche su windows

comunque anche per Linux/Unix:
http://www.wormblog.com/

[Ikitt]

Originariamente inviato da NetEscape
comunque anche per Linux/Unix:
http://www.wormblog.com/

Che c'entra?

[NetEscape]

scaricati uno dei file e poi capirai che c'entra.....
il codice mi sembra che nn sia allegato