iptables firewall

Qualcuno gentilmente conosce qualche link dove si
possono scaricare script o regole per iptables già preconfezionate ?

Grazie in anticipo per l'aiuto.
Fede

[radioradianti]

prova a dare uno sguardo a questi indirizzi :

http://www.linuxguruz.com/iptables/

http://www.faqs.org/docs/iptables/in...esttables.html

http://the-devil.dnsalias.net/home/extremist


Ciao!!

Happy Slackware! :grin:

un buon firewall x fedora fc3?

il firewall migliore per i poveracci è iptables :)

tutto si fa + kiaro...
iptables kome è strutturato?

in 3 catene principali,

INPUT OUTPU & FORWARD

input è il traffico in entrata, output in uscita e forward riguarda il traffico destinato a altri ma in entrata da te

primo passo settaggio delle policy

2 scuole di pensiero:

- Entra tutto scelgo il traffico da bloccare
- Blocco tutto ma scelgo il traffico da far passare

Preferisco la seconda...

negen se mi scrivi il traffico che vuoi accettare te lo preparo tempo permettendo ciao!

in 3 catene principali,

- cut -

Preferisco la seconda...

negen se mi scrivi il traffico che vuoi accettare te lo preparo tempo permettendo ciao!

Grazie texilee, mi faresti una grande cortesia, ovviamente
sempre se hai tempo e voglia.

Ok per la seconda politica.

So che dovrei sapere già tutte queste cose, ma non ho mai
avuto occasione di mettermi a smanettare per capire bene il
tutto. Quindi perdonami eventuali errori, e se descrivo delle
regole in conflitto tra loro.

La mia idea è quella di mettere su un server web, ma di
conservare la possibilità fare le usuali operazioni in rete,
usare i comandi ssh, telnet, ftp, traceroute, ping e
mandare/ricevere la posta elettronica.

Il traffico in ingresso e uscita che mi interessa è:
-HTTP porte 80, 8080

Io uso una slack 10.1 con kernel 2.6.10 e ho una
connessione ADSL se puo' esserti utile.

Questo è quanto. Grazie per la gentilezza.
Non preoccuparti se non riesci per qualsiasi motivo.

PS.: ho visitato la tua HP ... un vero sito da haker :-)
Grazie di nuovo

Federico

prego mi metto al lavoro così rispolvero un po' :)

cmq. il mio sito nn è da hacker!! basta usare le zucca !!
ciao!

prego mi metto al lavoro così rispolvero un po' :)

grazie tex

cmq. il mio sito nn è da hacker!! basta usare le zucca !!
ciao!

forse mi sono espresso male, intendevo graficamente

se ci sono errori fammi sapere che nn posso provarlo se no il collega mi taglia le gambe.....

Codice:

#!/sh

#                                      _____TEXILEE__SIMPLE__FIREWALL___ 
#                                    DNS___FTP___SSH___WWW___TELNET____MAIL  



# ti scrivo 2 righe semplici semplici da capire, senza creare altre catene, senza loggare nulla, senza 
# bloccare i tentativi di attacco più comuni. mi pare di aver capito che la tua slack è direttamente 
# connessa a internet quindi non ce forward
# puoi creare uno script in modo da fare diverse prove e tornare alla configurazione
# iniziale in qualsiasi momento lanciandolo con ./ ovviamente deve essere eseguibile e tu root.

# E' possibile inserire delle variabili: in caso di cambio di un ip non dovrai cambiare l'intero script
# ma solamente il valore della var. ad esempio assegno alla var "tutto" l'intera rete. Devi sempre specificare
# la maschera di sottorete ad esempio un host o una  porzione di rete puo essere 192.168.20.5/24 o 10.10.10.234/29 ...

tutto="0.0.0.0/0"

ip="80.116.34.45/24"

rete


# Facciamo pulizia. Il parametro -F  è FLUSH e serve per eliminare tutte le regole inserite di def dallo script più quelle manuali successive al lancio dello script

iptables -F

# Imposto le policy ora il traffico IN/OUT è completamente bloccato

#iptables -P FORWARD DROP <-- questa nn dovrebbe servirti se nn passa traffico destinato ad altri....

iptables -P INPUT DROP

iptables -P OUTPUT DROP


# Ora anche accettando connessioni dall'esterno verso il tuo server web non passerebbe nulla
# perchè il server web non sarebbe in grado di comunicare con l'esterno...


# Regole per abilitare dns,web,mail.... dal tuo pc al resto del mondo...
# Con queste regole consenti al tuo pc di utilizzare le varie risorse di rete...

#DNS

# accetta il traffico udp porta 53 (dns) in entrata
iptables  -A INPUT -p udp  --sport 53 -j ACCEPT


# accetta le richieste udp porta 53 (dns) in uscita
iptables  -A OUTPUT -p udp  --dport 53 -j ACCEPT

# Ora il tuo pc è in grado di risolvere i nomi host in ip...


#FTP
iptables  -A INPUT -p tcp --sport 20,21 -j ACCEPT
iptables  -A OUTPUT -p tcp  --dport 20,21 -j ACCEPT


#WWW
iptables  -A INPUT -p tcp --sport 80,445 -j ACCEPT
iptables  -A OUTPUT -p tcp --dport 80,445 -j ACCEPT


#SSH
#E' consentito  usare il nome del servizio piuttosto del numero della porta....
# esempio abilitare ssh in uscita (22 tcp) diventa
iptables -A INPUT -p tcp  --sport ssh -j ACCEPT
iptables -A OUTPUT -p tcp  --dport ssh -j ACCEPT


#TELNET
iptables -A INPUT -p tcp  --sport telnet -j ACCEPT
iptables -A OUTPUT -p tcp  --dport telnet -j ACCEPT

#MAIL SMTP & POP
iptables -A INPUT -p tcp --sport 25,110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25,110 -j ACCEPT




# abilito tutto il traffico icmp quindi ping traceroute ecc...ec...
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# ora apro al mondo esterno il tuo web server

iptables -A INPUT -p tcp --dport 80,8080 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80,8080 -j ACCEPT

# l'unico servizio che offrirai al mondo esterno (oltre ai comandi via icmp già abilitati)
# sarà il web server. Dal tuo pc invece sarà possibile collegarti ai vari server ftp pop3 ecc...


# Se vuoi abilitare per esempio ssh verso il tuo pc

iptables -A INPUT -p tcp  --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp  --sport ssh -j ACCEPT

# Puoi sempre eliminare qualche regola impostando la policy di OUTPUT su ACCEPT ed eliminando tutte le regole che si  riferiscono a quella catena.

grazie tex
appena ho un attimo di tempo lo provo e ti faccio sapere

grazie 1000 di nuovo.

Federico

paiura tex
ora me lo studiacchio un pò ehehehe