# Firewall? Ma quale?

## akx

Volevo solo chiedere,

secondo voi qual'è il miglior Firewall da installare con un....emerge flex? ho provato ad emergere Firestarter, ma ha dato solo errori e non me l'ha emerso quindi volevo sentire un po' di opinioni per decidere che firewall emergere x il mio nuovo Gentoo2005.0! Grazie a tuti anticipatamente

----------

## Ic3M4n

non sono molto esperto in materia, o almeno non lo sono come vorrei...  :Very Happy: 

l'unica cosa che ho capito e di cui sono quasi totalmente convinto è che per la generazione delle regole di iptables, è meglio mettersi lì e scriversele a manina senza utilizzare nessun programma. si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma. oltre a questo... cedo la parola a persone più esperte di me...

----------

## .:chrome:.

credo tu abbia fatto confusione...

il firewall è uno solo e non hai possibilità di scelta. trattasi di netfilter, che è un ibrido kernel-space/user-space

il componente kernel-space è il vero netfilter, ed è il firewall

il componente user-space permette di manipolare e configurare il firewall, ed è per default iptables

esistono altri aggeggi user-space, ma si tratta solo di interfacce per iptables, che a sua volta è un'interfaccia per netfilter

l'unica cosa certa è che se non sai usare iptables combini poco di buono anche con gli altri, quindi il primo consiglio è quello di imparare a usare iptables, il resto verrà da sè

----------

## fat_penguin

Concordo con quanto detto. Meglio farlo a manina... almeno capisci quello che stai facendo. 

Va inoltre ricordato che la difficoltà non sta nello scrivere le regole ma di capire quello che ci sta dietro... 

https://forums.gentoo.org/viewtopic-p-2431700.html , segui questa guida... è un buon inizio!

byebye

fat_penguin

----------

## abasme

prova gshield configurare questo  /etc/gshield/gShield.conf

scusi, mio italiano per non è mia lengua natal.

----------

## xchris

 *Ic3M4n wrote:*   

> si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma. 

 

questo non e' corretto a mio avviso.

La potenza di shorewall si vede anche nella facilita' con cui puoi mantenere un firewall.

Prendi un firewall a 7,8 zone e gestiscilo in modo intuitivo con uno script ad hoc....auguri  :Smile: 

Shorewall rende la cosa semplice e intuitiva.

Non voglio iniziare nuovamente il discorso....

Questo e' quanto penso e ringrazio Dio ogni giorno per l'esistenza di shorewall.... tra i tool il migliore IMHO.

----------

## fat_penguin

 *xchris wrote:*   

>  *Ic3M4n wrote:*   si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma.  
> 
> questo non e' corretto a mio avviso.
> 
> La potenza di shorewall si vede anche nella facilita' con cui puoi mantenere un firewall.
> ...

 

...hehe, come al solito si potrebbe iniziare una violentissima guerra di religione!

Cmq, solo per "par condicio" ... 

ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale...

Chiudo qui la discussione!  :Smile: 

byebye

fat_penguin

----------

## xchris

 *fat_penguin wrote:*   

> 
> 
>  le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice,
> 
> 

 

non sono d'accordo..  :Smile:  e non la puoi spacciare come verità assoluta!  :Laughing: 

e non lo saremo mai credo...

quindi chiudiamo qui  :Smile: 

ciao  :Wink: 

----------

## .:chrome:.

 *fat_penguin wrote:*   

> ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale...

 

premesso che io sono uno di quelli assolutamente contrari a shorewall, come puoi dire una cosa del genere? come puoi dire che le prestazioni sono superiori?

shorewall è un'interfaccia per iptables, che alla fine è un'interfaccia per netfilter. che tu usi shorewall o iptables per a configurazione, il firewall è sempre netfilter.

direi semplicemente che quello che hai scritto non ha minimamente senso e nessun riscontro nella realtà.

per la manutenzione invece sono pienamente d'accordo

----------

## fat_penguin

 *k.gothmog wrote:*   

>  *fat_penguin wrote:*   ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale... 
> 
> premesso che io sono uno di quelli assolutamente contrari a shorewall, come puoi dire una cosa del genere? come puoi dire che le prestazioni sono superiori?
> 
> shorewall è un'interfaccia per iptables, che alla fine è un'interfaccia per netfilter. che tu usi shorewall o iptables per a configurazione, il firewall è sempre netfilter.
> ...

 

libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!

Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio...

byebye

fat_penguin

----------

## .:chrome:.

 *fat_penguin wrote:*   

> libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!
> 
> Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio...

 

non ne sono molto convinto. credo abbia più importanza il tipo di filtraggio che fai, e il tipo e numero di moduli che usi.

che shorewall crei un sacco di chain inutili è palese, ma dire che tante chain possono rallentare... mi sembra davvero davvero difficile, soprattutto viste le potenze di calcolo delle macchine che ci sono oggi

----------

## fat_penguin

 *k.gothmog wrote:*   

>  *fat_penguin wrote:*   libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!
> 
> Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio... 
> 
> non ne sono molto convinto. credo abbia più importanza il tipo di filtraggio che fai, e il tipo e numero di moduli che usi.
> ...

 

Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite... 

byebye

fat_penguin

----------

## xchris

 *fat_penguin wrote:*   

> 
> 
> Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite... 
> 
> 

 

mmm

hai mai controllato un firewall che fa filtering solo a livello di pacchetti (e nn di applicazione come squid)?

Un p2,p3 non se ne accorge neanche.

Ho firewall con schede gigabit (p4) e viaggiano senza alcun problema. (smistando tra le varie lan)

(non vanno al limite delle schede solo per problemi ovvi di velocita' del bus non pciX ma vanno ben oltre i 100mbit/s)

Sarò onesto: e' la prima volta che sento un affermazione del genere.

----------

## fat_penguin

 *xchris wrote:*   

>  *fat_penguin wrote:*   
> 
> Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite... 
> 
>  
> ...

 

Potremo discuterne a lungo. Cmq, se vuoi, tu mi mandi il tuo file di conf per iptables... poi lo sconvolgiamo un po... mantenendo cmq sempre le stesse politiche... poi lo lanciamo e vediamo se le prestazioni non calano...

Certo il tuo FW con 4 interface di rete Gbit è interessante... ma sei sicuro che riempi la banda? Hai l'infrastruttura di rete che supporta il tutto senza rallentamenti? 

Se cosi fosse, mi ritiro nella mia ignoranza, e rinuncio alla discussione.

byebye

fat_penguin

----------

## .:chrome:.

concordo con xchris

ragionandoci un po' sopra... il firewall è a livello kernel.

si guardano le intestazioni dei pacchetti e si prendono le dovute decisioni.

essendo a livello kernel non ci sono latenze dovute a context-switch per il passaggio da una chain all'altra, o da un modulo all'altro, come avviene per i processi, quindi non vedo come una diversa organizzazione del FW possa renderlopiù veloce. se parliamo di 486 potrei anche accettarlo, ma con le macchien di adesso... è davvero dura tenere in piedi una tesi del genere.

ho macchine multiprocessore intel e sparc collegate a internet con fibre ottiche... penso che il mio banco di prova sia "sufficiente"... come diic te. non parlo di adsl attaccate al computer di casa

----------

## Ic3M4n

@k.gothmog,fat_penguin,xchris: quello che ho scritto è stato un riassunto molto sintetico della discussione che c'è stata in questo thread. 

a questo aggiungo: *Quote:*   

> non sono molto esperto in materia, o almeno non lo sono come vorrei...

 inoltre mi sembra di non aver portato la discussione ad una guerra di religione, ma solo dell'aver portato a conoscenza dell'autore del topic le due "campane" nell'arco di 4 riche e mezzo, e quindi di sicuro con qualche piccolo errore. però se ogni volta che esce la parola shorewall dobbiamo sorbirci tutta la pappardella del cosa è meglio... cosa è peggio... mi sembra scorretto soprattutto nei confronti di akx che non riesce più a capire cosa prendere per buono e cosa no.

----------

## fat_penguin

 *k.gothmog wrote:*   

> concordo con xchris
> 
> ragionandoci un po' sopra... il firewall è a livello kernel.
> 
> si guardano le intestazioni dei pacchetti e si prendono le dovute decisioni.
> ...

 

...secondo me la fai un po semplice...

Ecco alcune riflessioni:

1) piu regole ci sono, piu tempo un pacchetto ci mette ad essere smistato. No?

2) tabelle di pre e postrouting penso che facciano di piu che passare pacchetti da un'interfaccia all'altra... Praticamenente vanno a riscrivere le intestazioni di ogni pacchetto!

3) tabelle di mangling... incide e non poco sul tempo delle operazioni. 

4) se i pacchetti analizzati fanno parte dello stesso stream di dati la processazione sara' decisamente veloce (tabella delle connessioni)... ma se hai migliaia di flussi... e inizi continui di 3way-hand-shake ...

EDIT: non sto dicendo che iptables sia lento o che abbia bisgono di HW estremamente potente. Sto solo sottolineando che una configurazione non certosina puo fare la differenza!

byebye

fat_penguin

----------

## xchris

a dire il vero hai detto che i 100mbit/s sono il limite  :Wink: 

ti ringrazio per la disponibilità ma il fatto che usi shorewall al posto di un mio script non e' per incapacità di scriverlo. (prima di usare shorewall usavo solo i miei script).

Io direi di terminare qui la discussione anche perche' siamo un po' OT.

Il thread e' iniziato chiedendo un consiglio sul firewall da usare su un pc singolo e quindi tutto questo discorso non ha un gran senso.

Ognuno ha le sue convinzioni...

e preghiamo che i mod non ci becchino di nuovo  :Laughing: 

Io cmq proporrei ai mod 3 thread sticky:

File system Arena

Firewall arena

Window Manager Arena

 :Very Happy: 

ciao a tutti e... buon motogp  :Wink: 

----------

## fat_penguin

 *xchris wrote:*   

> a dire il vero hai detto che i 100mbit/s sono il limite 
> 
> ti ringrazio per la disponibilità ma il fatto che usi shorewall al posto di un mio script non e' per incapacità di scriverlo. (prima di usare shorewall usavo solo i miei script).
> 
> Io direi di terminare qui la discussione anche perche' siamo un po' OT.
> ...

 

hehe... è bello confrontarsi ... cmq concordo ... non pascoliamo troppo!

byebye

fat_penguin

----------

## .:chrome:.

@IceMan: non mi sembra si stia facendo nessuna guerra di religione su shorewall o altro. si afcevano solo alcune considerazioni sulle velocità di filtraggio

era solo un confronto di idee

 *fat_penguin wrote:*   

> non sto dicendo che iptables sia lento o che abbia bisgono di HW estremamente potente. Sto solo sottolineando che una configurazione non certosina puo fare la differenza!

 

questo mi può sta bene. però da qui a dire che iptables è più veloce di shorewall... capisci che c'è un grosso errore di principio.

ad ogni modo... torniamo in topic, che è meglio  :Wink: 

----------

## akx

OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo

----------

## mindolo

 *akx wrote:*   

> OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo

 

Firestarter è un frontend a iptables/netfilter.

più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? io sulla mia macchina non ho manco mezza regola di iptables, e vivo felice, elimino i servizi inutili, configuro a modo quelli che mi servono (ssh, apache e vsftpd al momento) e tengo aggiornata la macchina.

questo è GNU/Linux, non windoze dove installando un coso che ha scritto sopra il cd "firewall" pensi di essere al sicuro...

Per creare un sistema di packet filtering efficiente devi sapere _esattamente_ cosa succede all'interno dei protocolli di rete durante la comunicazione, altrimenti è inutile...

comunque se proprio sei convinto delle tue idee: http://netfilter.org/documentation/index.html#documentation-howto

----------

## comio

 *akx wrote:*   

> OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo

 

chiariamo che sotto linux l'unico firewall è praticamente netfilter/iptables. Tutti i vari tool che si vedono in giro sono "chains creators", ovvero propongono una interfaccia più o meno grafica per costruire le regole del firewall (sempre iptables).

Il problema è che molte volte gli strumenti automatici generano più righe di quante siano realmente utili, e magari potrebbero creare regole non ottime (comunque da dimostrare).

Io personalmente preferisco avere le catene iptables scritte a manina per avere maggior controllo. Ma è questione di gusti. 

ciao

----------

## .:chrome:.

 *mindolo wrote:*   

> più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall?

 

concordo. spesso il firewall è un oggetto superfluo

----------

## akx

 *k.gothmog wrote:*   

>  *mindolo wrote:*   più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? 
> 
> concordo. spesso il firewall è un oggetto superfluo

 

Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui!

----------

## .:chrome:.

 *akx wrote:*   

> Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui!

 

no, no... fai benissimo a chiedere... infatti qualcke risposta l'hai avuta

poi starà a te mettere tutto insieme e farti la tua idea  :Smile: 

----------

## comio

 *akx wrote:*   

> 
> 
> Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui!

 

il livello di sicurezza di redhat e simili... è molto dubbio. La sicurezza dipende dal contesto. Posso capire un ACCEPT indiscriminato sia un livello basso...

Quello che ti consiglio io è di capire se hai bisogno di un firewall (se non hai un servizio sulla porta X... non ha senso chiuderla, dato che lo è già!) e di capire quali sono i servizi che vuoi rendere pubblici alla tua "clientela".

Magari se hai dubbi specifici posta pure le tue conf in modo da poterci ragionare su!

Ti suggerisco comunque di visitare il sito www.netfilter.org, ci sono molti esempi nelle documentazioni, utili per farsi delle idee.

ciao

-8

----------

## [PHT]Giangi

Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob   :Smile: 

----------

## comio

 *[PHT]Giangi wrote:*   

> Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob  

 

ti dirò io ho dato una occhiata a fwbuilder... e devo dire che è notevole (supporta anche il ix... che è cosa buona). Poi non credo che sia tanto n00b...

ciao

-7

----------

## [PHT]Giangi

 *comio wrote:*   

> ti dirò io ho dato una occhiata a fwbuilder... e devo dire che è notevole (supporta anche il ix... che è cosa buona). Poi non credo che sia tanto n00b...

 

no era una piccola provocazione .... effettivamente è un buon prodotto facile da usare e sopratutto completo .... sai assomiglia come grafica, al famoso prodotto commerciale "principe dei firewall" Checkpoint F1-NG.

----------

## akx

scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema?

----------

## comio

 *akx wrote:*   

> scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema?

 

una backdoor è una porta di servizio... o meglio, un buco che ti permette l'accesso non voluto da chi gestisce il sistema. Per fartela facile... immagina che un giorno vengo su una tua macchina, mi metto un telnet su una porta che dico io e non dico nulla... quella porta è una backdoor.

In realtà si intende solitamente dei software che installano clandestinamente un sistema d'accesso ad un sistema.

subseven è un esempio (come backorifice).

ciao

-6

----------

## akx

 *comio wrote:*   

>  *akx wrote:*   scusate un po', per quanto riguarda il firewall credo di essermi fatto un'idea su cos'è e come viene gestito( una vaga idea).....ma che sono ste backdoors di cui si sente tanto parlare? E sopratutto si riesce a ovviare il problema? 
> 
> una backdoor è una porta di servizio... o meglio, un buco che ti permette l'accesso non voluto da chi gestisce il sistema. Per fartela facile... immagina che un giorno vengo su una tua macchina, mi metto un telnet su una porta che dico io e non dico nulla... quella porta è una backdoor.
> 
> In realtà si intende solitamente dei software che installano clandestinamente un sistema d'accesso ad un sistema.
> ...

 

Quindi le si possono aprire solo in locale o è possibile aprirne anche in remoto?E se si può anche in remoto come me ne accorgo senza un software specifico?

----------

## comio

 *akx wrote:*   

> 
> 
> Quindi le si possono aprire solo in locale o è possibile aprirne anche in remoto?E se si può anche in remoto come me ne accorgo senza un software specifico?

 

Prova a dare un nessus sulla tua macchina o comunque un nmap per vedere cosa hai aperto. Se vedi delle porte che non avevi previsto... magari hai un backdoor.

Questo è un inizio.

ciao

-2

----------

## mindolo

puoi anche vedere semplicemente con un netstat -lp .

comunque la mia non era una critica alla tua domanda, era solo una considerazione.

Rimane comunque il fatto che prima di mettere mano ad un firewall è IMHO buona regola studiarsi a fondo i meccanismi di rete.

ciao

mindolo

----------

## comio

 *mindolo wrote:*   

> 
> 
> Rimane comunque il fatto che prima di mettere mano ad un firewall è IMHO buona regola studiarsi a fondo i meccanismi di rete.

 

queste sono parole sacre.

ciao

----------

## masterbrian

 *k.gothmog wrote:*   

>  *mindolo wrote:*   più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? 
> 
> concordo. spesso il firewall è un oggetto superfluo

 

Se hai un singolo servizio, visibile al mondo o "aperto" ad utenti che non sono piu' che sicuri, allora il firewall e' necessario  :Smile: 

Riguardo alle prestazioni:

Anche io uso il firewall su un server con interfacce giga. Anche con una macchina molto ben carrozzata, delle regole non ben elaborate *possono* portare a dei rallentamenti significativi. E' in fase di load delle regole, e in fase di gestione delle stesse e infine, in termini di performance della rete.

E' normale  :Smile:  Tanti piu' controlli devi fare, tanto piu' tempo sara' necessario.

----------

## Garuda

non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.

Il servizio che vorrei  "blindare" e'  l'smtp sulla 25.

Qualche parere ?

----------

## .:chrome:.

 *Garuda wrote:*   

> non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.
> 
> Il servizio che vorrei  "blindare" e'  l'smtp sulla 25.

 

no. non ha nessun senso.

vuoi aprire SMTP? allora dovresti dire a un ipotetico firewall di aprire la porta 25...

ma se SMTP fosse l'unico servizio che la tua macchina esporta, allora, effettivamente, tutte le porte sarebbero chiuse, ad eccezione della 25...

e allora che fai? un firewall che chiude porta che sono già chiuse di per sè? hai paura che qualche forza oscura te ne apra una mentre sei girato?  :Wink: 

scherzi a parte... il senso credo si sia capito: un firewall, sui sistemi unix serve se hai configurazioni di rete estremamente labili, se devi fare routing, o filtraggi di tipo particolare. quelli che lo mettono sui desktop esercitano solo delle inutili paranoie

----------

## .:chrome:.

 *[PHT]Giangi wrote:*   

> Io sono del parere di usare iptables con degli scripts, in modo di poter cosi "capire o meglio compredere" come funziona un firewall .... e se si vuole per mera comodità utilizzare una gui per configurare e generare le policy, vi suggerisco un tool come "fwbuilder" (vedi http://www.fwbuilder.org) ...roba noob  

 

perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello

fare uno script è inutile, visto che viene comunque letto quel file

----------

## mindolo

 *Garuda wrote:*   

> non vorrei essere OT,ma vorrei chiedervi se ha senso mettere delle regole di iptables su un laptop che si connette tramite una porta ethernet.
> 
> Il servizio che vorrei  "blindare" e'  l'smtp sulla 25.
> 
> Qualche parere ?

 

non credo di aver capito bene il significato di "blindare" vuoi che non sia visibile all'esterno? o vuoi che venga usato solo da determinati hosts? o ancora, vuoi che sia l'unico servizio attivo sulla macchina?

nel primo caso puoi configurare il server in modo che NON accetti la posta da altre macchine, nel secondo, allora si ti serve un firewall, e nel terzo ti serve un firewall solo se girano altri servizi che non vuoi che siano accessibili dall'esterno.

 *k.gothmog wrote:*   

> 
> 
> perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello
> 
> fare uno script è inutile, visto che viene comunque letto quel file
> ...

 

beh e le regole come le scrivi? le imposti a mano la prima volta? io invece preferisco farmi un bello scriptone con tutte le regole e i commenti con tanto di disegnini della topologia della rete (la cosa più difficile  :Mr. Green:   :Mr. Green: ) e infilarlo tra gli script di init.

poi vabbè ognuno usa quello che gli pare...

----------

## X-Drum

 *mindolo wrote:*   

> beh e le regole come le scrivi? le imposti a mano la prima volta? io invece preferisco farmi un bello scriptone con tutte le regole e i commenti con tanto di disegnini della topologia della rete (la cosa più difficile  ) e infilarlo tra gli script di init.
> 
> poi vabbè ognuno usa quello che gli pare...

 

degustibus appunto

----------

## [PHT]Giangi

 *mindolo wrote:*   

> 
> 
>  *k.gothmog wrote:*   
> 
> perché usare degli script? puoi usare il comodo /var/lib/iptables/rules-save ed editare direttamente quello
> ...

 

Grazie "mindolo" mi hai tolto le parole dalla bocca ......  :Wink: 

----------

## masterbrian

 *k.gothmog wrote:*   

> un firewall che chiude porta che sono già chiuse di per sè? hai paura che qualche forza oscura te ne apra una mentre sei girato? 
> 
> 

 

Non vorrei scatenare flames, ma il firewall mica chiude solo le porte... hem hem.  :Cool: 

Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?

Ecco, iptables e' moooooooooolto di piu'  :Smile:  Ti permette di fare tanti bei giochini. 

Suvvia, non siamo riduttivi!  :Razz: 

----------

## akx

credo di essermi fatto un'idea, comunque la domanda che mi sorge spontanea è, avendo un router ethernet con altri 2 pc connessi (miei) e considerando che dall'interfaccia del router posso decidere io che servizi avvivare verso l'esterno secondo voi ne ho bisogno?

----------

## .:chrome:.

 *masterbrian wrote:*   

> Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?
> 
> Ecco, iptables e' moooooooooolto di piu'  Ti permette di fare tanti bei giochini. 
> 
> Suvvia, non siamo riduttivi! 

 

beh, certo... però lui aveva chiesto per un desktop... per come la vedo io, le cose che dici te, su un desktop, sono solo esercizi di stile; nulla di più

ma ripeto... è una mia idea

----------

## Josuke

 *k.gothmog wrote:*   

>  *masterbrian wrote:*   Dipende da cosa devi fare. Vuoi limitare ad esempio pacchetti frammentati? Vuoi utilizzare un knockd xke' ti vengano create al volo le regole di iptables quando devi fare una connessione? Vuoi che alcuni mac address con certi ip non possano accedere? Vuoi ruotare le connessioni sulla porta 25 ad una porta non privilegiata?
> 
> Ecco, iptables e' moooooooooolto di piu'  Ti permette di fare tanti bei giochini. 
> 
> Suvvia, non siamo riduttivi!  
> ...

 

concordo...e secondo me comunque l'esercizio aiuta  :Smile: , il fatto è questo...per una macchina desk senza servizi...bisogna comunque prima preoccuparsi che servizi inutili aprano porte altrettanto inutili...una volta chiuso tutto il superfluo..si può anche creare un piccolo firewall..comunque di dubbia utilità per la macchina..ma sicuramente utile per imparare un passaggio fondamentale del mondo linux ossia il funzionamaneto di iptalbes

----------

## codadilupo

torno un pochino IT segnalando questi due progetti, che non conoscevo affatto:

http://ipcop.org/

http://firewalladdons.sourceforge.net/

Coda

----------

## masterbrian

Se poi proprio non vuoi imparare il funzionamento di iptables (sconsigliato) o di netfilter, potresti provare ad usare kmyfirewall se scegli come desktop kde. E' una interfaccia per iptables che ti fa alcune domande molto semplici e generali e poi genera automaticamente una configurazione di firewall adatta alle tue esigenze, che poi puoi far partire automaticamente ad ogni avvio del tuo desktop.

Attenzione che se non ricordo male il pacchetto e' mascherato in portage

----------

