# shorewall e lopster

## GaugeTheory

Ho subìto delle intrusioni mentre scaricavo da lopster, così mi sono cercato un firewall. Mi hanno consigliato shorewall. Ho mergiato la versione 2.2.0 e ho letto un po' la guida sul sito www.shorewall.net

Ho però dei problemi.

finora ho capito che shorewall dovrebbe configurare iptables, il quale dovrebbe dire al kernel quali pacchetti provenienti dalla rete sono buoni o cattivi. Sono arrivato alla parte del one-interface sample, ho scaricato e sostituito i files aggiornati.

Da questo punto in poi, non so più come procedere  :Sad: 

Preciso che devo proteggere solo il mio computer, e che ho una scheda ethernet che mi mette in comunicazione con la fibra fastweb.

Grazie in anticipo a che mi potrà aiutare  :Wink: 

----------

## gutter

Linka la pagina della configurazione che ti da problemi.

----------

## GaugeTheory

Questa è la pagina che stavo leggendo, come ho detto l'ultima cosa che sono riuscito a fare è stato mettere gli interface samples.

----------

## gutter

Adesso dimmi che problemi ti da magari pastando un poco un poco di log o errori.

----------

## tuxer

Comunque shorewall è un front end per la creazione di firewall con iptables, e se segui la guida per una interfaccia (nel caso di una configurazione semplice), non mi pareva per niente difficile...

Qual è il problema?

----------

## GaugeTheory

Il problema è che la semplice guida mi crea problemi: non sono molto ferrato in informatica, e non ho mai lavorato su firewall...

 *Quote:*   

> If you wish to enable connections from the internet to your firewall and you find an appropriate Allow action in /etc/shorewall/actions.std, the general format of a rule in /etc/shorewall/rules is:
> 
> #ACTION   SOURCE    DESTINATION     PROTO       DEST PORT(S)
> 
> <action>  net       fw
> ...

  Che vuol dire? Che per poter navigare sul web devo metterci la riga di codice?

 *Quote:*   

> If you are connected to your firewall from the internet, do not issue a shorewall stop command unless you have added an entry for the IP address that you are connected from to /etc/shorewall/routestopped. Also, I don't recommend using shorewall restart; it is better to create an alternate configuration and test it using the shorewall try command.

  Non capisco che cosa voglia dire.

In che caso va modificato il file shorewall.conf ? Per ora so solo che va modificato nel caso in cui voglia far partire il firewall di default.

Una volta finito di smanettare nei files in /etc/shorewall, per farlo partire basta un "shorewall start" ?

----------

## gutter

 *GaugeTheory wrote:*   

> 
> 
> [CUT]
> 
> Che vuol dire? Che per poter navigare sul web devo metterci la riga di codice?
> ...

 

No, si riferisce al caso in cui tu voglia accettare connessioni dall'esterno (ad esempio se hai un server web sul un pc della tua LAN).

 *GaugeTheory wrote:*   

> 
> 
> [CUT]
> 
> Non capisco che cosa voglia dire.
> ...

 

Non credo sia un problema che possa riguardarti. Ti spiego in due parole il concetto: supponi di lavorare su una macchina remota che deve essere configurato come firewall, se crei delle regole così "rigide" da non permettere più le connessioni dall'esterno, come fai a connetterci per correggere quest'errore? In tal caso l'unica soluzione è avere accesso fisico alla macchina.

 *GaugeTheory wrote:*   

> 
> 
> Una volta finito di smanettare nei files in /etc/shorewall, per farlo partire basta un "shorewall start" ?

 

Si  :Wink: 

----------

## GaugeTheory

Grazie mille  :Smile: 

Chiedo un'ultima cosa:

Ho bisogno che il firewall mi consenti di navigare su internet, che mi possa permettere di scaricare roba su una cartella tipo /a e che infine dia accesso in download-upload a lopster nella cartella /b.

È possibile? Cosa devo settare?

Grazie

----------

## gutter

Quello che chiedi dovrebbe farla la conf del link che hai postato.

----------

## GaugeTheory

Conf?? Intendi forse il file /etc/shorewall/shorewall.conf?

----------

## gutter

 *GaugeTheory wrote:*   

> Conf??

 

Intendevo la guida che stai seguendo.

----------

## GaugeTheory

Ci sarà scritto sicuramente, ma non riesco a capirci molto...  :Sad: 

----------

## tuxer

Sinceramente se non sai molto di informatica e meno di firewall shorewall non mi sembra proprio la cosa più adatta, ci sono programmi più semplici che puoi usare...

----------

## GaugeTheory

Ogni alternativa più semplice è molto ben accetta  :Wink: 

Cosa consigli?

----------

## xchris

 *tuxer wrote:*   

> Sinceramente se non sai molto di informatica e meno di firewall shorewall non mi sembra proprio la cosa più adatta, ci sono programmi più semplici che puoi usare...

 

non sono d'accordo.

Con shorewall configurare una singola macchina per l'utilizzo descritto servono circa 1-2 minuti (andando piano)

Imparare ad usarlo in modo basilare e' decisamente semplice con l'ottima documentazione di cui dispone.

Se poi vogliamo parlare di una configurazione avanzata ( con 5-6 zone ) bhe.... allora non c'e' n'e' per nessuno.E' il migliore IMHO

C'e' molta gente che si sente troppo "niubbo" ad usare un tool come shorewall (vuoi mettere? 200-300 righe di iptables e' + semplice  :Laughing: ) ... ma vi assicuro che e' un tool ottimo sia per niubbi che per utenti skilled!

Se hai problemi posta dalla dir /etc/shorewall i file:

interfaces

zones

policy

rules

masq (se devi fare nat)

in linea di massima per utilizzare lopster devi avere una entry in rules in cui dici che accetti il traffico dalla rete sulla porta 6699 (per un funzionamento ottimale)

Ciao

----------

## GaugeTheory

@ xchris: Grazie per i suggerimenti  :Smile: 

Interfaces: 

```
#ZONE   INTERFACE       BROADCAST       OPTIONS

net     eth0            detect          norfc1918,routefilter,dhcp,tcpflags

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
```

zones: 

```
#ZONE   DISPLAY         COMMENTS

net     Net             Internet

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
```

policy: 

```
#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST

fw              net             ACCEPT

net             all             DROP            info

# The FOLLOWING POLICY MUST BE LAST

all             all             REJECT          info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
```

rules: 

```
#ACTION         SOURCE  DEST    PROTO   DEST    SOURCE  ORIGINAL        RATE    USER/

#                                       PORT    PORT(S) DEST            LIMIT   GROUP

ACCEPT          net     fw      icmp    8

ACCEPT          fw      net     icmp

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
```

Quanto al file masq, è vuoto, a parte commenti.

È possibile che alcuni servers di lopster usino una porta 8888? Se sì, devo abilitare il traffico anche per quella? Ma cosa devo scrivere in rules? E non c'è un modo di limitare questo traffico solo ad alcune directory?

----------

## tuxer

 *Quote:*   

> 
> 
> non sono d'accordo.
> 
> Con shorewall configurare una singola macchina per l'utilizzo descritto servono circa 1-2 minuti (andando piano)
> ...

 

Premettendo che non mi è mai piaciuto usare cose senza sapere come funzionano,certo sono d'accordo anche io, quello che voglio dire è che shorewall ti mette a diretto contatto con iptables, perciò è consigliato sapere per lo meno come funziona, altrimenti è meglio usare altro...

----------

## xchris

 *tuxer wrote:*   

> 
> 
> Premettendo che non mi è mai piaciuto usare cose senza sapere come funzionano,certo sono d'accordo anche io, quello che voglio dire è che shorewall ti mette a diretto contatto con iptables, perciò è consigliato sapere per lo meno come funziona, altrimenti è meglio usare altro...

 

si e no...

Se vogliamo Linux come desktop dobbiamo pure accettare che alcuni utenti utilizzino un firewall senza conoscerne ogni aspetto.

(anche perche' una conoscenza approfondita di iptables richiede moooolto tempo)

Ho visto spesso molti utenti "principianti" utilizzare degli script di iptables completamente bucati.Con shorewall questo non sarebbe mai successo!

Il punto e': cosa vuoi dal tuo pc? cosa vuoi che faccia per te?

Alcuni potrebbero dire: imparare,imparare (molti di noi immagino)

Altri potrebbero dire.....usarlo senza panico e troppi sbattimenti.

Per quanto riguarda il firewall GaugeTheory sei quasi a posto.

Io in genere non amo neanche icmp sul mio PC e non lo permetto.

Ti manca una regola in Rules per utilizzare al 100% Lopster.

(anche cosi' funziona ma ci saranno casi in cui non potrai scaricare)

Agggiungi in Rules

ACCEPT          net     fw      tcp    6699

La porta 8888 e' lo standard di connessione ai server opennap. (e le tue regole gia' lo consentono...perche' in uscita non hai limiti)

La porta 6699 e' quella che viene aperta sul tuo PC da lopster durante i download. (discorso un po' complesso a dire il vero - dipende dai casi) e quindi e' bene lasciarla aperta.

Ciao

EDIT:la regola:"ACCEPT  fw net icmp"  e' inutile perche' la policy "fw net ACCEPT" gia' lo permette!

----------

## Tùrin_Mormegil

dai un'occhiata a kmyfirewall, veramente banale da configurare, ma permette di settare iptables benissimo a utenti che di iptables non sanno niente.

----------

## GaugeTheory

 *xchris wrote:*   

> 
> 
> Io in genere non amo neanche icmp sul mio PC e non lo permetto.

 

Cosa usi al suo posto? Qual'è la differenza?

Grazie per i suggerimenti  :Smile: 

----------

## gutter

 *GaugeTheory wrote:*   

> 
> 
> Cosa usi al suo posto? 

 

Penso niente  :Wink: 

----------

## xchris

blindato!  :Very Happy: 

----------

## GaugeTheory

Dunque mi consigliate di togliere quella riga di codice...

Questo potrebbe limitare i downloads e/o lopster?

----------

## xchris

se togli quella di ICMP assolutamente no!

ricordati di accettare connessioni sulla 6699 e controlla che Lopster sia configurato proprio per accettare connessioni sulla 6699. (la 8888 del server e' un altro discorso....)

ciao

----------

## GaugeTheory

L'unico posto in cui lopster mi visualizza delle porte è il socket browser. Si tratta di un elenco di server (suppongo i server attivi al momento) con tanto di IP e porta.  Tra le porte che compaiono vedo:

8888; 20000; 8887; 6667; 3456; 7777; 30000; 7654; 8874; 5678; 6969; 3555 e potrei ancora continuare...

Vuol dire che per permettere il download da quei server dovrei creare delle rules per tutte queste porte?

----------

## xchris

no.

Apri le preferenze...

vedi subito "dataport"

ciao

----------

## GaugeTheory

Ora controllo...

Scusa, dataport dove di preciso?

----------

## GaugeTheory

Ecco, appunto...

Ci sono due opzioni:

-> I am behind a firewall (di default)

-> I can accept direct connections

     e poi una lista di porte, con la default e altre alternative.

Devo lasciare tutto così e far semplicemente andare shorewall? E non rischio di non connettermi più con quei server che usano altre porte?

----------

## gutter

Devi usare la prima delle due.

----------

## Tùrin_Mormegil

devi impostare la 2^. basta che ci siano le regole di iptables per l'entrata e l'uscita delle porte 6699 6680  :Smile:  ciao

----------

## GaugeTheory

Bene... E ora cosa faccio...?  :Embarassed:   :Embarassed: 

----------

## GaugeTheory

...Altri pareri...?

----------

## rota

squsate o appena installato stoshorewall ma  se faccio 

ls /etc/shorewall  veddo solo  

shorewall.conf

allora perche avetedetto che ci sono anche stifile 

interfaces

zones

policy

rules

masq (se devi fare nat) 

dovve li prendo ???? :Embarassed:   :Embarassed: 

----------

## X-Drum

ti ha gia  risposto prima credo...

 *xchris wrote:*   

> 
> 
> (la 8888 del server e' un altro discorso....)
> 
> ciao

 

----------

## tuxer

direi che è impossibile quando lo installi te li crea lui quei file di configurazione, prova a reinstallarlo e per favore correggi quell'obbrobbrio ortografico che hai scritto...

----------

