Qualcuno gentilmente conosce qualche link dove si
possono scaricare script o regole per iptables già preconfezionate ?
Grazie in anticipo per l'aiuto.
Fede
Printable View
Qualcuno gentilmente conosce qualche link dove si
possono scaricare script o regole per iptables già preconfezionate ?
Grazie in anticipo per l'aiuto.
Fede
prova a dare uno sguardo a questi indirizzi :
http://www.linuxguruz.com/iptables/
http://www.faqs.org/docs/iptables/in...esttables.html
http://the-devil.dnsalias.net/home/extremist
Ciao!!
Happy Slackware! :grin:
un buon firewall x fedora fc3?
il firewall migliore per i poveracci è iptables :)
tutto si fa + kiaro...
iptables kome è strutturato?
in 3 catene principali,
INPUT OUTPU & FORWARD
input è il traffico in entrata, output in uscita e forward riguarda il traffico destinato a altri ma in entrata da te
primo passo settaggio delle policy
2 scuole di pensiero:
- Entra tutto scelgo il traffico da bloccare
- Blocco tutto ma scelgo il traffico da far passare
Preferisco la seconda...
negen se mi scrivi il traffico che vuoi accettare te lo preparo tempo permettendo ciao!
Grazie texilee, mi faresti una grande cortesia, ovviamenteCitazione:
Originalmente inviato da texilee
sempre se hai tempo e voglia.
Ok per la seconda politica.
So che dovrei sapere già tutte queste cose, ma non ho mai
avuto occasione di mettermi a smanettare per capire bene il
tutto. Quindi perdonami eventuali errori, e se descrivo delle
regole in conflitto tra loro.
La mia idea è quella di mettere su un server web, ma di
conservare la possibilità fare le usuali operazioni in rete,
usare i comandi ssh, telnet, ftp, traceroute, ping e
mandare/ricevere la posta elettronica.
Il traffico in ingresso e uscita che mi interessa è:
-HTTP porte 80, 8080
Io uso una slack 10.1 con kernel 2.6.10 e ho una
connessione ADSL se puo' esserti utile.
Questo è quanto. Grazie per la gentilezza.
Non preoccuparti se non riesci per qualsiasi motivo.
PS.: ho visitato la tua HP ... un vero sito da haker :-)
Grazie di nuovo
Federico
prego mi metto al lavoro così rispolvero un po' :)
cmq. il mio sito nn è da hacker!! basta usare le zucca !!
ciao!
grazie texCitazione:
Originalmente inviato da texilee
forse mi sono espresso male, intendevo graficamenteCitazione:
Originalmente inviato da texilee
se ci sono errori fammi sapere che nn posso provarlo se no il collega mi taglia le gambe.....
Codice:
#!/sh
# _____TEXILEE__SIMPLE__FIREWALL___
# DNS___FTP___SSH___WWW___TELNET____MAIL
# ti scrivo 2 righe semplici semplici da capire, senza creare altre catene, senza loggare nulla, senza
# bloccare i tentativi di attacco più comuni. mi pare di aver capito che la tua slack è direttamente
# connessa a internet quindi non ce forward
# puoi creare uno script in modo da fare diverse prove e tornare alla configurazione
# iniziale in qualsiasi momento lanciandolo con ./ ovviamente deve essere eseguibile e tu root.
# E' possibile inserire delle variabili: in caso di cambio di un ip non dovrai cambiare l'intero script
# ma solamente il valore della var. ad esempio assegno alla var "tutto" l'intera rete. Devi sempre specificare
# la maschera di sottorete ad esempio un host o una porzione di rete puo essere 192.168.20.5/24 o 10.10.10.234/29 ...
tutto="0.0.0.0/0"
ip="80.116.34.45/24"
rete
# Facciamo pulizia. Il parametro -F è FLUSH e serve per eliminare tutte le regole inserite di def dallo script più quelle manuali successive al lancio dello script
iptables -F
# Imposto le policy ora il traffico IN/OUT è completamente bloccato
#iptables -P FORWARD DROP <-- questa nn dovrebbe servirti se nn passa traffico destinato ad altri....
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Ora anche accettando connessioni dall'esterno verso il tuo server web non passerebbe nulla
# perchè il server web non sarebbe in grado di comunicare con l'esterno...
# Regole per abilitare dns,web,mail.... dal tuo pc al resto del mondo...
# Con queste regole consenti al tuo pc di utilizzare le varie risorse di rete...
#DNS
# accetta il traffico udp porta 53 (dns) in entrata
iptables -A INPUT -p udp --sport 53 -j ACCEPT
# accetta le richieste udp porta 53 (dns) in uscita
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# Ora il tuo pc è in grado di risolvere i nomi host in ip...
#FTP
iptables -A INPUT -p tcp --sport 20,21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20,21 -j ACCEPT
#WWW
iptables -A INPUT -p tcp --sport 80,445 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80,445 -j ACCEPT
#SSH
#E' consentito usare il nome del servizio piuttosto del numero della porta....
# esempio abilitare ssh in uscita (22 tcp) diventa
iptables -A INPUT -p tcp --sport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --dport ssh -j ACCEPT
#TELNET
iptables -A INPUT -p tcp --sport telnet -j ACCEPT
iptables -A OUTPUT -p tcp --dport telnet -j ACCEPT
#MAIL SMTP & POP
iptables -A INPUT -p tcp --sport 25,110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25,110 -j ACCEPT
# abilito tutto il traffico icmp quindi ping traceroute ecc...ec...
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
# ora apro al mondo esterno il tuo web server
iptables -A INPUT -p tcp --dport 80,8080 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80,8080 -j ACCEPT
# l'unico servizio che offrirai al mondo esterno (oltre ai comandi via icmp già abilitati)
# sarà il web server. Dal tuo pc invece sarà possibile collegarti ai vari server ftp pop3 ecc...
# Se vuoi abilitare per esempio ssh verso il tuo pc
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT
# Puoi sempre eliminare qualche regola impostando la policy di OUTPUT su ACCEPT ed eliminando tutte le regole che si riferiscono a quella catena.
grazie tex
appena ho un attimo di tempo lo provo e ti faccio sapere
grazie 1000 di nuovo.
Federico
paiura tex
ora me lo studiacchio un pò ehehehe