[CB-lug] firewall

Kumrah kumrah84@gmail.com
Lun 12 Feb 2007 20:35:23 CET 

:D grazie, ora però facciamo un giochino :D...io faccio i commenti sotto a
quello che capisco e non capisco e magari tu mi dai le spiegazioni. Non
voglio essere invadente ma vorrei capire bene.

Il 12/02/07, robertom <ulivo15@yahoo.it> ha scritto:
>
> oooooooops, non si è preso l'allegato, speriamo che
> sia la volta buona
> saluti
>
>
>
>
>
>
>
> ___________________________________
> L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail:
> http://it.docs.yahoo.com/nowyoucan.html
>
> #--------------attivazione
> firewall-----------------------------------------
>
> #resetta e imposta la politica
> iptables -F
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP


fino a qua  ci sono :D

#nega i tentativi di accesso dall'esterno e li logga in /var
> #iptables -A INPUT -i eth1 -s 127.0.0.1 -j LOG --log-prefix
> tentativo_spoofing


....ho solo una scheda di rete quindi questo lo  ometto....

#iptables -A INPUT -i eth0 -s 127.0.0.1 -j LOG --log-prefix
> tentativo_spoofing


...bene, se non sbaglio questo aggiunge una regola alla catena INPUT dicendo
che quello che è in ingresso alla scheda di rete eth0 (quindi che nel mio
caso proviene da internet) e che ha come ip sorgente 127.0.0.1 (ceh è
l'indirizzo di loopback) deve essere regolato da LOG il quale me lo va
scrivere nel file di log (quale?) con prefisso "tentativo_spoofing" ,
giusto? potresti spiegarmi bene questo comando? (Sono piuttosto curioso e mi
piace capirle le cose oltre che metterle in pratica) Cosa è LOG di preciso?

#iptables -A INPUT -i ppp0 -s 127.0.0.1 -j LOG --log-prefix
> tentativo_spoofing


non ho modem...

#iptables -A INPUT -i eth0  -m state --state NEW -j LOG --log-prefix
> tentativo_connessione


 questo mi logga sotto la dicitura tentativo_connessione tutte le nuove
connessioni?

#iptables -A INPUT -i eth1  -m state --state NEW -j LOG --log-prefix
> tentativo_connessione
> #iptables -A INPUT -i ppp0  -m state --state NEW -j LOG --log-prefix
> tentativo_connessione

iptables -A INPUT -i eth1  -m state --state NEW -j DROP


non mi dovrebbero servire....

iptables -A INPUT -i eth0  -m state --state NEW -j DROP


questa credo che mi sia abbastanza chiara...dovrebbe servire a non accettare
pacchetti dalle nuove connessioni, quindi non stabilire nuove connessioni?

iptables -A INPUT -i ppp0 -m state --state NEW -j DROP
>
> # Deny ICMP echo-requests
> iptables -A INPUT -p icmp -j DROP
>
>
> # Anti-spoofing blocks
> #iptables -A INPUT -i eth1 -s 127.0.0.1 -j LOG --log-prefix
> spoofing_superato
> #iptables -A INPUT -i eth0 -s 127.0.0.1 -j LOG --log-prefix
> spoofing_superato
> #iptables -A INPUT -i ppp0 -s 127.0.0.1 -j LOG --log-prefix
> spoofing_superato
>
> iptables -A INPUT -i eth1 -s 127.0.0.1 -j DROP


;)

iptables -A INPUT -i eth0 -s 127.0.0.1 -j DROP


Rifiuto i pacchetti in ingresso da eth0 ceh hanno come sorgente l'ip
127.0.0.1. serve sempre per lo spoofing, ma sulla guida leggevo che iptables
si ferma alla prima regola soddisfatta, quindi teoricamente questa regola no
viene mai applicata oppure si fa eccezione se prima viene usato LOG?

iptables -A INPUT -i ppp0 -s 127.0.0.1 -j DROP
>
> for i in /proc/sys/net/ipv4/conf/*/rp_filter;
> do
> echo 1 > $i
> done
>
> # Ensure source routing is OFF
> for i in /proc/sys/net/ipv4/conf/*/accept_source_route;
>   do
>     echo 0 > $i
>   done
>
> # Ensure TCP SYN cookies protection is enabled
> [ -e /proc/sys/net/ipv4/tcp_syncookies ] &&\
> echo 1 > /proc/sys/net/ipv4/tcp_syncookies
>
> # Ensure ICMP redirects are disabled
> for i in /proc/sys/net/ipv4/conf/*/accept_redirects;
> do
> echo 0 > $i
> done
>
> # Ensure oddball addresses are logged
> [ -e /proc/sys/net/ipv4/conf/all/log_martians ] &&\
> echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
> [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ] &&\
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] &&\
> echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


emmm ...si in efetti non ci capisco ancora una mazza di script, o meglio
qualcosina la capisco però non tutto se mi puoi fare un commentino mi
farebbe veramente piacere. :)

#carica firewall
>
> # Reject TCP packets to privileged ports
>
>
> #consento il loopback (da/per localhost solo)
> iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
> iptables -A OUTPUT -d 127.0.0.1 -o lo -j ACCEPT


questo credo sia chiaro...forse...mmmmm...il seondo non tanto...(mamma
quanto sono ignorante)...mi faresti un commentino anche qui per il secondo
comando.

#consento connessioni richieste e connesse
> iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
> iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW


 e per finire il primo accetta i pacchetti in ingresso dalle connessioni già
stabilite o già esistenti ed i secondo permette i transito dei pacchetti in
uscita dalle connessioni gia esistenti, già stabilite e...? Dalle nuove?
quindi permette di richiedere nuove connessioni?

#--------------fine attivazione
> firewall-----------------------------------------
>
>
>
>
> --
> Mailing list info: http://lists.linux.it/listinfo/lugcb
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/lugcb/attachments/20070212/a147e0db/attachment.htm

Maggiori informazioni sulla lista Lugcb