# shorewall

## rota

ciao a tutti ... è tutta  la notte che sto provando shorewal

allora io o un macchina ...dovve eth0 va diretta a fastweb....

la macchina a solo una interfaccia  di rete...

questa macchina devve fare da web server ( apache ....)

siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina....

spero che me la lasciate andare (sapiamo tutti  che è poco sicuro sta vonfigurazzione pero ...me tocca fare cosi ...tanto  è  il mio server beta cioè dovve ci  faccio le provve ..... :Wink:  )

allora io o impostato il  file  *Quote:*   

> /etc/shorewall/rules.gz  

 

in questo modo...

 *Quote:*   

> 
> 
> AllowWeb    loc       fw
> 
> 

 

2 cose che non o capito :

1) che diferenzza cè tra 

 *Quote:*   

> AllowWeb   loc       fw

 

è

 *Quote:*   

> AllowWeb   fw        net

 

se o capito bene devvo fare riferimento a questo...( o apena letto sta cosa ..http://www.shorewall.net/Documentation.htm#Zones )

 *Quote:*   

> #ZONE      DISPLAY        COMMENTS
> 
> net        Net            Internet
> 
> loc        Local          Local networks
> ...

 

percio se voglio che il server comunichi  con l'esterno devvo fare cosi...

 *Quote:*   

> AllowWeb   fw        net

 

2) se capito bene devo editare il file /usr/share/shorewall/action.AllowWeb

in questo modo ...

 *Quote:*   

> 
> 
> ACCEPT     fw        net      tcp     80
> 
> ACCEPT      fw        net      tcp     443
> ...

 

oppure devvo  editarlo  ( sto parlando sempre di "  ACCEPT     fw        net      tcp     80 ")

 nel file :

 *Quote:*   

> 
> 
> /etc/shorewall/rules.gz  

  :Question:   :Question:   :Question: 

poi una cosa che mi stavo chiedendo ....ma tutto cio che non scrivvo in questo file /etc/shorewall/rules.gz cosa ducedde ??? chiude i servizzi..o cosa??

se sto sbagliando ...allora come faccio a chiudere le porte ecc ??javascript:emoticon(' :Question: ')

perche se esiste l'opzione AllowDNS devve eserci anche un DennyDNS  NO ???? :Question:   :Question: 

quello che non mi è chiaro ...se io voglio fare un web server bsta che metto sta riga 

```
AllowWeb    loc       fw

```

 e shorewal mi creea tutte le regole ???

 *Quote:*   

> 
> 
> leggendo http://www.shorewall.net/two-interface.htm
> 
> 

 

Example 3. Web Server on Firewall

You want to run a Web Server on your firewall system:

#ACTION    SOURCE    DEST               PROTO     DEST PORT(S)

AllowWeb   net       fw

AllowWeb   loc       fw

non o capito perche fà sta cosa....

 :Crying or Very sad:   :Crying or Very sad: 

o altre cose da chiare pero prima spiegateme sta cosa per favore ..perche non mi èchiara...... :Embarassed:   :Embarassed: 

----------

## rota

o  fatto un casino.....

o editato il file  /etc/shorewal/rules in questo modo

 *Quote:*   

> # bloccare l'host con indirizzo 1.2.3.4 perche' non e' gradito.
> 
> #DROP   net:1.2.3.4/32  fw
> 
> #accettare connessioni sulle porte TCP
> ...

 

se faccio shorewall start

non vaddo piu su internet....

non riesco manco a pingare   :Crying or Very sad:   :Crying or Very sad: 

posto anche il file 

/etc/shorewall/policy

 *Quote:*   

> 
> 
> fw		net		ACCEPT
> 
> net		all		DROP		info
> ...

 

----------

## .:deadhead:.

giusto per partire dalle cose semplici e funzionali dai un occhio qua http://www.xchris.net/index.php?page=Shorewall_1

----------

## rota

gial letta...o seguito propio quella guida...

m...o resetato tutte le conf ...

come prima cosa o editato 

ZONES

in   questo modo ...

net     Net             Internet

soloche quando faccio partire shorewal  mi dàquesto erorre....

 Error: No appropriate chain for zone fw to zone net

Terminated

io o fastweb e il pc  in questione sta colegato fisicamente afastweb senzza essere parte di una rete

avevo sbagliato a scrivere......nell file ZONES perche avevo fatto copia incolla e mi aveva creeato dei spazzi ....

adesso o seguito la guida pero niente mi blocca tutto ..... :Crying or Very sad: 

----------

## arnor

ciao rota,

a mio avviso hai fatto un po' di casino con i file di shorewall. fai un reset e ricomincia dall'inizio tenendo presente:

1) creare la zona net (togliere il commento) /etc/shorewall/zones

2) andare in /etc/shorewall/policy e verificare che tutto quello che arriva dall'esterno (net) venga DROPPATO

3) aggiungere il concetto che da "fw" a "net" le connessioni sono accettate (io metto tutte solitamente)

3) modificare le rules aprendo le porte che interessano

4) shorewall check per verificare che le regole siano formalmente corette

ciao Lorenzo

ps. Purtroppo ora sono su win e non posso girarti i conf.

----------

## .:chrome:.

uhm... secondo me è più semplice usare iptables, soprattutto in un caso come questo, in cui si ha da gestire una quantità ridicola di connessioni.

quello che non mi è chiaro, però, è perché tu voglia assolutamente mettere un firewall, se, come dici, questa è l'unica macchina di cui disponi:

 *Quote:*   

> siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina...

 

se non devi fare routing per una rete privata, del firewall te ne puoi anche fregare alla grande...

----------

## rota

 :Shocked:  come perche ???

vabbe....

comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un  motivo serio.... :Rolling Eyes:   :Rolling Eyes: 

è mi sto imparando sia iptables che altri firewall tutto qui ...piu  se ne sà meglio no???

linux è sicuro solo se lo rendi tale  ..... :Wink: 

----------

## .:chrome:.

 *rota wrote:*   

> comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un  motivo serio.... 
> 
> è mi sto imparando sia iptables che altri firewall tutto qui ...piu  se ne sà meglio no???
> 
> linux è sicuro solo se lo rendi tale  .....

 

ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...

secondo te che perché dovrebbe esserciun firewall su una macchina?

esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.

non ha alcun senso un firewall che ti chiuda delle porta che sono già chiuse. ha senso invece se tramite il firewall fai routing per una sottorete, o fai il mangling dei pacchetti, o fai un filtraggio sugli ICMP.

la prima opzione non ti serve (se non ho capito male) se altre due, a meno che non mi sbagli, shorewall non le fa, ma ti devi comunque appoggiare a iptables.

in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti".

----------

## gutter

 *k.gothmog wrote:*   

> 
> 
> ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...
> 
> secondo te che perché dovrebbe esserciun firewall su una macchina?
> ...

 

Un firewall non "da sicurezza" dal momento che non esiste la sicurezza in termini assolutistici. Ma possiamo sicuramente affermare che contribuisce ad aumentare la sicurezza di una macchina.

 *k.gothmog wrote:*   

> 
> 
> esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.
> 
> 

 

X ad esempio l'hai dimenticato?!?

 *k.gothmog wrote:*   

> 
> 
> in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti".

 

Ecco l'unica cosa in quello che hai detto con cui concordo  :Wink: 

----------

## .:chrome:.

 *gutter wrote:*   

> X ad esempio l'hai dimenticato?!?

 

no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.

toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.

se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...

 *gutter wrote:*   

> Ecco l'unica cosa in quello che hai detto con cui concordo 

 

 :Confused:  non capisco... perché non ti trovi d'accordo?

----------

## quantumwire

Ragazzi... io mi sono impallato molto prima ovvero non so quali moduli devo compilare nel kernel per Shorewall...  :Embarassed: 

Chi mi puo' aiutare?

----------

## .:chrome:.

 *quantumwire wrote:*   

> Ragazzi... io mi sono impallato molto prima ovvero non so quali moduli devo compilare nel kernel per Shorewall... 

 

i soliti moduli che fanno parte del pacchetto netfilter. tutti quelli che trovi nel menu "packet filtering" o qualcosa di simile.

accetta però un consiglio: tentare di usare shorewall senza conoscere iptables è difficile e controproducente. dedicati prima a iptables  :Smile: 

----------

## rota

m....squsa allora io fino adesso non  cio capito niente....di firewall

allora a che  servve il  firewall ??

come mi difendo  dallo spoffing e atacchi simili   ????

mi state dicendo che non o  bisogno di firewall???

Ã¨ quando ne o bisogno ?????

 :Question:   :Question:   :Question:   :Question:   :Question: 

e poi squsa ma se  non uso  il  firewall come le chiudo le porte ???

sia per  linux che per windows..... :Rolling Eyes:   :Rolling Eyes:  io se ricordo  bene il firewall servve per  chidere le porte no???? :Question:   :Question: 

m..pero mo che ci penso  se  io non attivo nessun servizzio ...automaticamente  non apro nessuna  porta.....

pero  perche per windows diverso ?????

squste se parlo  del nemico..solo che non ci sto capendo piu  niente... :Idea:   :Idea:   :Rolling Eyes: 

----------

## .:chrome:.

 *Quote:*   

> allora a che  servve il  firewall ??

 

per come la vedo io, un firewall è superfluo su una macchina che non esporta servizi (quando non ho installato nessun server, insomma) e che non fa routing

 *Quote:*   

> come mi difendo  dallo spoffing e atacchi simili   ????

 

parli di IP spoofing? ARP spoofing? ARP poisoning? MITM (Man In The MIddle)?

sei realmente convinto che un firewall possa difenderti da questo genere di attacchi? un firewall effettua solo un controllo sul traffico. fa passare quello che tu gli dici di far passare. non ti protegge da attacchi di questo tipo. al massimo (ma impegnandosi) potresti evitare ALCUNE tipologie di DoS (Denial of Service)

 *Quote:*   

> e poi squsa ma se  non uso  il  firewall come le chiudo le porte ???

 

quali porte? se non hai installato server sulla tua macchina le porte sono già chiuse per conto loro. se invece un server ce l'hai installato, le porte le devi aprire per forza:

```
telnet localhost 80

Trying 127.0.0.1...

telnet: connect to address 127.0.0.1: Connection refused
```

come puoi vedere non ho bisogno di chiudere la porta 80 sulla mia macchina, perché è già chiusa.

 *Quote:*   

> sia per  linux che per windows.....  io se ricordo  bene il firewall servve per  chidere le porte no???? 

 

quelle che sono già aperte

 *Quote:*   

> m..pero mo che ci penso  se  io non attivo nessun servizzio ...automaticamente  non apro nessuna  porta.....

 

appunto  :Smile:  vedi che ci capiamo  :Wink: 

 *Quote:*   

> pero  perche per windows diverso ?????

 

windows ha un sacco di servizi attivi per default, e il solo netbios è un colabrodo. più che sufficiente per violare il sistema.

quello è un altro discorso. windows non può stare senza un personal firewall

 *Quote:*   

> mi state dicendo che non o  bisogno di firewall???
> 
> E quando ne o bisogno ?????

 

io ti sto dando un mio parere personale. quando non è indispensabile, ne faccio a meno. significa avere meno roba da manutenere e meno servizi attivi...

io preferisco usarlo quando ho bisogno di fare routing (il masquerading e il NAT li faccio tramite il firewall), quando voglio realizzare un buon filtraggio ICMP, o quando voglio il packet mangling, ma a parte la prima non sono soluzioni che si usano spesso, e non è nemmeno semplice implementarle.

io ti ho riportato un parere. io non l'ho implementato né a casa, né sul portatile (ovviamente), e nemmeno sui server in produzione... ne ho due senza firewall... non mi serve  :Smile: 

----------

## gutter

 *k.gothmog wrote:*   

>  *gutter wrote:*   X ad esempio l'hai dimenticato?!? 
> 
> no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.
> 
> 

 

Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000.

 *k.gothmog wrote:*   

> 
> 
> toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.
> 
> 

 

Hai detto bene, teoricamente  :Wink:  Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema.

 *k.gothmog wrote:*   

> 
> 
> se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...
> 
> 

 

Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.

P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare un qualunque flame  :Wink: 

----------

## .:chrome:.

```
Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000.
```

davvero? sai che è una cosa a cui non ho mai fatto caso? oggi faccio un esperimento  :Smile: 

 *Quote:*   

> Hai detto bene, teoricamente  Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema.

 

ma vedi... è proprio questo che non va secondo me: la convinzione che un firewall dia un aumento di sicurezza. io non vedo come questo sia possibile, nel momento in cui dico al firewall di chiudere porte che lo sono già di per sè...

in questo caso il firewall appare solo come una seccatura: un posto in più dove mettere le mani quella volta che decido di fare qualche prova con i servizi esportati

 *Quote:*   

> Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.

 

uhm... non è il più felice degli esempi che potessi fare  :Very Happy: 

 *Quote:*   

> P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare una qualunque flame 

 

ma ci mancherebbe... anzi... sarebbe bello magari radunare diverse opinioni e mettere insieme un qualcosa che porti un po' di luce, visto che sembra ci sia tanta confusione sull'argomento  :Smile: 

----------

## gutter

 *k.gothmog wrote:*   

> 
> 
>  *Quote:*   Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost. 
> 
> uhm... non è il più felice degli esempi che potessi fare 
> ...

 

Letto così non esprime la mia opinione  :Wink: 

Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale.

----------

## .:chrome:.

 *gutter wrote:*   

> Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale.

 

beh... su questo siamo d'accordo. però in un contesto "normale" sarebbero aperte solo le porte di pochissimi servizi e teoricamente dovrebbero essere tutte su localhost

 *Quote:*   

> netstat -ant
> 
> Active Internet connections (servers and established)
> 
> Proto Recv-Q Send-Q Local Address           Foreign Address         State
> ...

 

avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché  :Smile: 

----------

## .:chrome:.

 *k.gothmog wrote:*   

> avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché 

 

mistero risolto!  :Smile: 

in /etc/X11/gdm/gdm.conf è sufficiente impostare al direttiva DisallowTCP a "false" e non viene più aperta la porta 6000  :Smile: 

----------

## mouser

Vedi, k.gothmog, io sono d'acordo con quanto detto da gutter.

Hai ragione per quanto riguarda il fatto che il firewall ti chiude delle porte che, effettivamente, sono gia' chiuse.

E' anche vero che, non mettendo il firewall per questo motivo, ogni volta che lanci un qualsiasi programma (che sia un client, un server, un demone, un'interfaccia grafica, un wm, un gioco..... qualsiasi cosa) dovreisti testare che effettivamente non ti viene aperto nulla.

E visto che la sicurezza non e' cosa con cui scherzare ultimamente, io, personalmente, preferisco "chiudere tutto a chiave e spendere 5 minuti in piu' quando devo aprire una porta che lasciarle tutte accostate per poi doverle controllare ogni 2 giorni".

Quindi, sicuramente e' una cosa soggettiva (si puo' preferire avere una cosa in meno da configurare e avere qualcosa di incerto che viceversa)..... io credo che su un server (e che deve rimanere sicuro) e' sempre meglio installare un firewall e inserire come prima cosa un blocco totale in entrate ed in uscita di tutte le porte; dopodiche' inizio ad aprire quello che mi serve!

Come dice gutter, la reale sicurezza non esiste, ma mettere qualcosa in piu' non puo' fare che bene!

Ovviamente tutto IMHO

Ciriciao

mouser  :Wink: 

----------

## Taglia

Io ieri mi sono messo in testa di imparare a usare IPTABLES ... ma siccome con me gli approcci a forza bruta non funzionano ho pensato di installare Shorewall e poi vedere che regole impostava in iptables per realizzare quello che chiedevo. Tuttavia non ho ben capito una cosa. La mia rete è così disposta

Ho un router che fa da modem adsl e si connette ad internet. Poi ho una lan privata con 4 PC che si collegano ad internet via router. Al router è connesso anche un access point wireless ... per cui diciamo che ogni pc ha eth0 ed eth1 con cui si connette sia agli altri pc sia al router.

A questo punto leggendo le guide ho impostato i vari files di configurazione in questo modo (su uno dei PC collegati a questa rete, dato che ho diversi servizi aperti volevo fare un po di protezione assicurandomi che fossero raggiungibili solo dai PC della lan privata e non dall'esterno salvo eccezioni).

/etc/shorewall/interfaces

 *Quote:*   

> 
> 
> #ZONE	 INTERFACE	BROADCAST	OPTIONS
> 
> -	eth0		detect		dhcp,nosmurfs
> ...

 

(In quanto le due interfaccie sono collegate sia a net che a loc

/etc/shorewall/hosts

 *Quote:*   

> 
> 
> loc		eth0:ip_delle_macchine_locale
> 
> loc		eth1:ip_delle_macchine_locali
> ...

 

/etc/shorewall/policy

 *Quote:*   

> 
> 
> #SOURCE		DEST		POLICY		LOG		LIMIT:BURST
> 
> #					
> ...

 

E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)

Perchè se attivo il firewall invece blocca tutto il traffico?[/quote]

----------

## .:chrome:.

 *Taglia wrote:*   

> E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)
> 
> Perchè se attivo il firewall invece blocca tutto il traffico?

 

posta l'output di "iptables-save" e "iptables-save -t nat"

(non puoi pretendere di usare shorewall se non impari prima iptables)

----------

## Taglia

iptables-save

 *Quote:*   

> 
> 
> # Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
> 
> *nat
> ...

 

iptables-save -t nat

 *Quote:*   

> 
> 
> # Generated by iptables-save v1.2.11 on Mon Mar 28 13:37:26 2005
> 
> *nat
> ...

 

Per quanto riguarda l'apprendimento ... ecco sto cercando di imparare le due cose "in parallelo"  :Very Happy: 

Ieri mi sono smazzato metà degli howto's su netfilter.org ... probabilmente il mio cervello è un po'ottenebrato dai pasti delle festività e non rende al 100%  :Laughing: 

----------

## .:chrome:.

allucinante! questo è quello che produce shorewall? in una parola è abominevole!!!

tutto quello che fa si poteva sostituire con una manciata di regole semplicissime da imparare. poi mi vengono a dire che shorewall è semplice e comodo...

allora... innanzitutto vedo delle regole di packet mangling. ne hai realmente bisogno? il packet mangling si usa solo su gateway ad alto traffico. fai i tuoi conti.

da un'occhiata rapidissima pare che il problema dia questo: hai messoa  drop la politica di output (e fin qui può stare bene) e hai consentito l'uscita (chain fw2net) alle sole porte 80 e 53. che poi... anche qui è stato fatto un casino enorme. http usa sì la porta 80, ma in TCP, mentre tu hai messo sia TCP che UDP. il DNS, invece usa la porta 53, e fin qui ci siamo, ma usa UDP, mentre tu hai abilitato TCP.

l'errore più grosso che vedo a colpo d'occhio è quello

fai una cosa... scarica nel cesso shorewall e scrivi "iptables-restore < rules" dove rules è un file di regole fatto esattamente come l'output di iptables-save e contenente SOLO questo:

 *Quote:*   

> 
> 
> *filter
> 
> :INPUT DROP [0:0]
> ...

 

ho assunto eth0 interfaccia verso internet, eth1 verso la LAN.

potrebbero esserci degli errori, quindi prendilo un po' con le pinze.

ad ogni modo questo è un firewall che fa esattamente le stesse cose dell'altro, senza regole specifiche e con una manciata di regole e le tre chain predefinite, senza tutta quell'accozzaglia incomprensibile, e senza creare decine di chain... sei ancora convinto che shorewall sia più semplice di iptables?

ah... se hai bisogno di fare routing devi aggiungere una regola per il masquerading

----------

## Taglia

Innanzitutto grazie per l'attenzione. Adesso sto uscendo (visite ai parenti rulez ahahah), però appena torno leggerò tutto approfinditamente. Unica cosa che non mi torna in quanto da te detto. eth0 e eth1 praticamente sono la stessa cosa! Solo che:

- eth0 è la lan ethernet usuale che si connette al router!

- eth1 è la scheda wlan , che si connette allo stesso router di cui sopra!

In pratica uso eth0 quando ho il cavo, eth1 quando non voglio attaccarmi con il cavo e preferisco usare l'access point. Ma a livello "logico" sono esattamente la stessa cosa.

```

                  !

eth0 ------- !-----\

                  !       +------- ROUTER ---------------------- INTERNET

eth1 -------!------/                  | 

                  !                           |

                  !                          |

                                      LAN PRIVATA

```

(fantastico, certe volte mi stupisco delle mie capacità grafiche)

Il firewall è installato sulla macchina a sinistra dei punti esclamativi, macchina che ha due interfaccie possibili verso il router (eth0, ethernet oppure eth1, wireless lan)

Poi ho altre macchine che si collegano al router e formano una rete interna.

Ora scappo, appena torno mi guardo tutto per bene!

----------

## .:chrome:.

due interfacce di rete che vanno entrambe verso la stessa default route? ma che casino!!!

guarda... questo è il firewall (un pezzo  :Wink:  ) di un gateway per una rete privata. fa routing e un sacco di cose. tutto con 1/3 delle regole che hai postato tu

...e molte di queste sono pure superflue

 *Quote:*   

> *filter
> 
> :INPUT DROP [21657:1801669]
> 
> :FORWARD ACCEPT [10764:665093]
> ...

 

----------

## Taglia

Ma il problema è che io non sto configurando un PC come gateway ... sto facendo il firewall del mio portatile! 2 interfaccie di rete verso lo stesso gateway non sono una cosa assurda ... è un PC con una scheda ethernet e con una scheda wireless ... e quelle sono le mie interfaccie verso l'esterno! Siccome sul mio portatile vado in giro e mi connetto un po'dappertutto volevo avere un minimo di protezione in più e soprattutto evitare che la gente mi cominciasse a smanettare con i servizi che ho attivi ... Comunque per quanto riguarda shorewall penso che lo butterò nel rudo e cercherò di capire meglio iptables, in quanto con tutte le catene che ha generato non ci capisco più una mazza  :Laughing: 

----------

## Taglia

Ad ogni modo ho trovato questo wiki abbastanza interessante.

Per ora il mio fantastico firewall ha solo queste regole 

 *Quote:*   

> 
> 
> Chain INPUT (policy ACCEPT)
> 
> target     prot opt source               destination
> ...

 

Edit.... Così è un po meglio ... bello sto firewall  :Very Happy:  meglio di niente però  :Twisted Evil: 

 *Quote:*   

> 
> 
> Chain INPUT (policy DROP)
> 
> target     prot opt source               destination
> ...

 

----------

## .:chrome:.

 *Taglia wrote:*   

> Ma il problema è che io non sto configurando un PC come gateway... sto facendo il firewall del mio portatile!

 

il senso del mio post era appunto questo. per un gateway basta una manciata di regole. per un portatile (che non avrebbe nemmneo bisogno di firewall) permetti a shorewall di fare tutto quel casino?

 *Taglia wrote:*   

> Siccome sul mio portatile vado in giro e mi connetto un po'dappertutto volevo avere un minimo di protezione in più e soprattutto evitare che la gente mi cominciasse a smanettare con i servizi che ho attivi ...

 

mi sembra un po' esagerato (o meglio da visionario) pensare che dietro ogni angolo ci sia la tronity di turno che ti fa un sshnuke.

hai attivi solo i servizi che ti servono? i server sono tutti aggiornati? bene, allora non hai nulla da temere anche senza firewall.

vai in giro con SSH v1? puoi metterne anche 12 di firewall, ma la macchina te la sfondano lo stesso.

questo è il succo del discorso.

questo è il mio portatile:

```

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 127.0.0.1:778           0.0.0.0:*                  LISTEN

tcp        0      0 127.0.0.1:111           0.0.0.0:*                  LISTEN

tcp        0      0 10.0.0.7:4888           192.167.22.29:22      ESTABLISHED

```

e NON ho firewall. pensi che io sia vulnerabile? se entri attraverso la rete in un computer conciato così, allora puoi anche andare a pretendere il nobel.

i firewall non aumentano la sicurezza dei sistemi!

 *Taglia wrote:*   

> Comunque per quanto riguarda shorewall penso che lo butterò nel rudo e cercherò di capire meglio iptables, in quanto con tutte le catene che ha generato non ci capisco più una mazza 

 

appunto  :Smile: 

comunque, visto che sei recidivo, vai a dare un'occhiata su netfilter.org. ci sono delle guide fatte molto meglio di quanto chiunque altro non possa spiegarti

----------

## Taglia

Paranoico ... non paranoico ... secondo me non c'è nulla di male nell'avviare anche un firewall ... il discorso è: se non fa male attivarlo e ho comunque dei benefici, perchè non attivarlo? Se sono sul balcone e c'è freddo, e posso entrare in casa dove c'è il riscaldamento, e la porta è aperta ... perchè non entrare??

E poi diciamo che sto facendo un corso di protocolli & reti ... e pensavo che approfondire iptables era un buon modo per rendere il tutto più gradevole, imparando anche qualcosa di sicuramente utile  :Very Happy: 

Ora il problema è: perchè con queste regole "dopo un po" non mi risolve più i DNS, mi sconnette amsn, insomma devo shutdownare iptables per ripristinare i collegamenti a internet?  

(le porte aperte sono ssh e distcc per gli altri PC della lan privata)

 *Quote:*   

> 
> 
> Chain INPUT (policy DROP)
> 
> target     prot opt source               destination
> ...

 

----------

## .:chrome:.

[quote="Taglia"]

Ora il problema è: perchè con queste regole "dopo un po" non mi risolve più i DNS, mi sconnette amsn, insomma devo shutdownare iptables per ripristinare i collegamenti a internet?  

(le porte aperte sono ssh e distcc per gli altri PC della lan privata)

 *Quote:*   

> 
> 
> Chain INPUT (policy DROP)
> 
> target     prot opt source               destination
> ...

 

perché gli hai detto di scartare tutti i pacchetti (riga in grassetto) e policy di default e accetti in ingresso solo le comunicazioni dalle porte 22 e 3632 e solo dalla rete 192.168.2.0/24.

è dura pretendere di poter fare qualcosa in questa condizioni.

suggerimento: per comodità usa "iptables-save": è più leggibile.

prova con qualcosa di questo tipo:

```
*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT

-A INPUT -p udp -m udp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m multiport --sports 80,443,8080 -j ACCEPT

-A INPUT -p tcp -m multiport --sports 110,143,993,995 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 631 -j ACCEPT

-A INPUT -m state --state INVALID -j DROP

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

COMMIT
```

dagli una controllata... l'ho messo giù in quattro e quattr'otto. ti permette di usare SSH (porta 22) di usare un DNS (porta 53), navigare (80,443,8080), scaricare posta (110,143,993,995), usare samba e cups.

butti tutto in un file e poi fai un "iptables-restore < file"

ma... hai letto le guide su netfilter.org?  :Wink: 

----------

## Taglia

Diciamo che sto leggendo più roba "in parallelo", ieri avevo letto quella del packet filtering (sul sito di iptables)... diciamo che la sto assimilando assieme all'agnello  :Very Happy: 

Per quanto riguarda le mie regole, certamente sono super restrittive ... ma quello che non mi tornava era la funzionalità "a sprazzi": con regole del genere pensavo che se non fosse funzionato qualcosa, sarebbe avvenuto appena lanciavo iptables e non dopo mezz'ora di funzionamento!!

Ora mi leggo per bene le tue ... del resto mi sembra di essere ad un punto migliore di ieri, quando appena lanciavo iptables crollava la funzionalità di rete  :Laughing: 

Grazie comunque per i consigli, molto graditi (soprattutto quello su shorewall ahah)

----------

## .:chrome:.

 *Taglia wrote:*   

> Per quanto riguarda le mie regole, certamente sono super restrittive ... ma quello che non mi tornava era la funzionalità "a sprazzi": con regole del genere pensavo che se non fosse funzionato qualcosa, sarebbe avvenuto appena lanciavo iptables e non dopo mezz'ora di funzionamento!!

 

no. le connessioni devono andare in timeout prima che il programma ti avverta che c'è qualcosa che non va.

----------

