Home Forums Sicurezza e Firewall Configurazione Firewall Urpmi.update -a attraverso Firewall iptables

Urpmi.update -a attraverso Firewall iptables

Login per inviare commenti
3 risposte [Ultimo messaggio]
Lun, 21/08/2006 - 23:38
Ritratto di ecalzo
ecalzo
(Newbie)
Offline
Newbie
Iscritto: 21/08/2006
Messaggi: 3

Ciao a tutti uso mandriva one (2006.0) con Kde 3.4

Ho configurato un firewall casalingo con iptables.

Ho impostato le policy così:

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Ho messo soltanto le regole necessarie per aprire le poche porte che uso 80,443,53,25,110,22 (dato che sono un utente desktop)

Ho bloccato pacchetti sia tcp che udp al server X11 e al Xfont Server sulle porte6000:6010 e 7000:7010

ORA....
ECCO LA DOMANDA............

urpmi.update -a ....non riesce ad accedere ai repository per aggiornare la lista dei pacchetti. :-o

Ho cercato di capire quale porta usa tale comando...da MAN pages ed HOW-TO ma niente da fare...

ECCO I MIEI DUBBI.........

Se il comando usasse soltanto il protocollo Ftp le porte da aprire dovrebbero essere 20 e 21.
Ho provato ad aprirle sia in in che in out (a scapito della sicurezza)ma niente da fare.... non funziona...

Ho pensato che i repository ci sono anche via http pero' la porta 80 e' gia' aperta in OUT dalle altre regole mie ma niente lo stesso..

Forse ho scordato il protocollo rsync?

CONSIDERAZIONI........

se fermo il firewall ... /sbin/service iptables stop
allora tutto funziona......

Se lo faccio ripartire... /sbin/service start
nulla.......

Le rules le ho salvate... /sbin/service iptables save

le le faccio eseguire al boot del sistema...../sbin/chkconfig --level 345 iptables on

Ora per piacere datemi una mano...
Chi sa come far passare questo comando attraverso il firewall senza compromettere la sicurezza???

GRAZIE FIN DA ORA.........
CIAO

In cima
  • Login per inviare commenti
  • 1759 visite
Lun, 21/08/2006 - 23:49
#1
Ritratto di inventore1
inventore1
(Collaboratore)
Offline
Collaboratore
Iscritto: 23/09/2004
Messaggi: 2093

ehm.... se non hai un server le porte non serve aprirle in entrata, ma solo in uscita (tipo: puoi navigare anche con la porta 80 chiusa in entrata)
quindi la regola iptables -t filter -P OUTPUT DROP mi sembra una grossa cazzata e basta... se sei tu a utilizzare il pc perchè bloccare le connessioni in uscita? quelle in entrata le puoi bloccare e funziona lo stesso la navigazione, il download e tutto......

poi c'è una cosa che non ho capito.. il firewall che hai scritto qua è su una macchina diversa da quella dove provi a usare urpmi?

ciao...

Notebook: Intel Core 2 Duo T7200, 2Gb ram, 160GB hd, Intel GMA 950 Big Grin
Server: Amd athlon Xp 2000+, 512Mb ram, 80*2 hd Wink
CERCATE PRIMA DI POSTARE

In cima
  • Login per inviare commenti
Mar, 22/08/2006 - 00:15
#2
Ritratto di ecalzo
ecalzo
(Newbie)
Offline
Newbie
Iscritto: 21/08/2006
Messaggi: 3

ok grazie mille della risposta......

Il mio pc e' connesso al web soltanto con un modem us robotics 56k..... ha la scheda di rete ma ora e' inutilizzata........
Pensavo di mettere le regole al firewall in modo da poter connettere in futuro un altro pc alla eth0 garantendone la sicurezza.

Dopo aver provato da me a configurare il tutto ho provato a mettere il firewall casalingo realizzato da Giuseppe Lucente(in calce il link al suo lavoro) per fare un po' di test e vedere quando sicuro potesse essere......
per evitare spam ecc........

L' insieme di regole che uso sulla mia macchina sono percio' :

____________________________________________

iptables="/sbin/iptables"
modprobe ipt_LOG
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_multiport
# blocco i ping verso la mia macchina
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# attivo protezione contro attacchi Spoofing
echo '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo '1' > /proc/sys/net/ipv4/tcp_syncookies
echo '1' > /proc/sys/net/ipv4/conf/all/rp_filter
# logga in /var/log/messages i pacchetti malformati e scartati automaticamente
echo '1' > /proc/sys/net/ipv4/conf/all/log_martians
echo '0' > /proc/sys/net/ipv4/conf/all/accept_source_route
echo '0' > /proc/sys/net/ipv4/conf/all/accept_redirects
# configurazione politica di default per la tabella filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# configurazione politica di default per la tabella nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# configurazione politica di default per la tabella mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# scarta subito pacchetti malformati
iptables -A INPUT -m unclean -j DROP
# consento traffico su loopback
iptables -A INPUT -i lo -j ACCEPT
# regole personali
# accetto tutte le connessioni correlate alla mia
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# abilito servizio DNS per protocolli UDP
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
# abilito la navigazione web e il traffico https
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# abilito connessioni SMPT e POP3
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# abilito connessioni SSH (SecureShell) con attivazione Log
iptables -t filter -A OUTPUT -p tcp --syn --dport 22 -m state --state NEW -j LOG \
--log-level info --log-prefix "---SSH from ppp0---"
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# blocco tutti i pacchetti destinati al server X11 e al Xfont Server
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 6000:6010 -j DROP
iptables -t filter -A INPUT -i ppp0 -p udp --dport 6000:6010 -j DROP
iptables -t filter -A INPUT -i ppp0 -p tcp --dport 7000:7010 -j DROP
iptables -t filter -A INPUT -i ppp0 -p udp --dport 7000:7010 -j DROP
# disabilito pacchetti ICMP di tipo echo-request
iptables -t filter -A INPUT -p icmp ! --icmp-type 8 -j ACCEPT
# aggiungo questa regola in caso di problemi nella politica di DEFAULT
iptables -A INPUT -j DROP
# mascheramento
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# riabilita l'inoltro dei pacchetti alla fine delle operazioni di settaggio
# del firewall

________________________________________________________

Grazie a Giuseppe Lucente
http://www.pluto.it/files/journal/pj0207/personal_fw.html
________________________________________________________

Grazie fin da ora,,,,,

In cima
  • Login per inviare commenti
Mar, 22/08/2006 - 01:05
#3
Ritratto di inventore1
inventore1
(Collaboratore)
Offline
Collaboratore
Iscritto: 23/09/2004
Messaggi: 2093

bah.. non è che mi piaccia molto ma non è a me che deve piacere Tongue
in ogni caso, io per il mio router/firewall che era un vecchio tostapane k6 aggiornato ora a duron ( Laughing ) uso shorewall che secondo me è molto piu facile da configurare e gestire.
al massimo potresti provare guarddog... oppure almeno aggiungere la regola iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT per abilitare l'ftp....

ciao

Notebook: Intel Core 2 Duo T7200, 2Gb ram, 160GB hd, Intel GMA 950 Big Grin
Server: Amd athlon Xp 2000+, 512Mb ram, 80*2 hd Wink
CERCATE PRIMA DI POSTARE

In cima
  • Login per inviare commenti
Login per inviare commenti
‹ Previous topic: mandriva 2007, shorewall e webmin Next topic: porta 1029 ›