Che firewall usate?

4 risposte [Ultimo messaggio]
Ritratto di Maurizio
Maurizio
(Geek)
Offline
Geek
Iscritto: 05/10/2004
Messaggi: 173

Ciao
siccome non ho ancora imparato ad usare le iptables, nel frattempo volevo installare un firewall, voi cosa usate?

Ritratto di kio341
kio341
(Guru)
Offline
Guru
Iscritto: 09/09/2004
Messaggi: 591

usa questo (se non vuoi usare quello nativo di mandrake-configura il tuo computer-sicurezza -firewall)
Quote:

allego il mio firewall kiofirewall.sh che ho installato sul router per la mia lan domestica nattata dal router
_______________-
#!/bin/bash
# metto a 0 iptables
iptables -F INPUT
iptables -F OUTPUT
# droppo INPUT (chiudo tutto)
iptables -P INPUT DROP
# permetto l´entrata di pacchetti di connessioni create dall´interno sull'interfaccia ppp0(quella verso internet))
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#accetto tutto il traffico che mi proviene dalla mia lan
iptables -A INPUT -i eth0 -j ACCEPT
# permetto a me stesso di contattarmi
iptables -A INPUT -i lo -j ACCEPT

l'ho testato su http://www.pcflank.com/ e
Results of the test:
Check for vulnerabilities of your computer system to remote attacks
Safe!
Trojan horse check
Safe!

Per automatizzare le cose è conveniente mettere tutti i comandi in uno script
(per esempio firewall.sh) da rendere eseguibile con:

# chmod 755 /home/kio/firewall.sh

ed inserirlo in uno script di avvio ad esempio in /etc/rc.d/rc.local,
così:
#!/bin/sh
. /home/kio/firewall.sh

per capirci qualcosa guarda qui
http://linux.html.it/articoli/iptables1.htm
8-)

Ritratto di Maurizio
Maurizio
(Geek)
Offline
Geek
Iscritto: 05/10/2004
Messaggi: 173

Kio! Alla grande!!! 8-) allora imparo ad usare direttamente iptables... Laughing 8-)

Grazie per tutto Wink

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao.
Io per la configurazione mi appoggio su ShoreWall che configuro in remoto con WebMin. Mi trovo decisamente bene.
Ciao Ciao Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di Pinguino
Pinguino
(Guru)
Offline
Guru
Iscritto: 14/09/2004
Messaggi: 2918

Beh, se vuoi avere un'idea ecco il post con le mie configurazioni.. Io uso iptables "manualmente" xche nessuno dei vari tool grafici (io consiglio vivamente guarddog, uno dei migliori, a mio parere) non dava in modo immediato la possibilità di scrivere regole per iptables che contemplassero una rete con 2 IP sulla stessa scheda di rete (ho diversi PC + MODEM ADSL connessi a un solo hub, cosi il PC con router/firewall ha una sola scheda), in genere gli script che trovi via internet contemplano una scehda dedicata a internet e una diversa per la rete interna.. Non è uno script "paranoico" ma mi sembra sufficiente per una rete casalinga:

#!/bin/sh<br />## script to enable masquerading<br />## must be run as root after the DSL connection is up<br />## usage: sh nat.sh<br />#<br /># bring up alias interface eth0:0 :<br />#ifconfig eth0:1 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 up<br />#N.B. To load this script at boot put "sh /path/to/scrip/firewall.sh" at the bottom of /etc/rc.local<br /><br />######### RESET IPTABLES<br />echo -n "Cleaning Tables... "<br />#<br /># reset the default policies in the filter table.<br />#<br />iptables -P INPUT ACCEPT<br />iptables -P FORWARD ACCEPT<br />iptables -P OUTPUT ACCEPT<br /><br />#<br /># reset the default policies in the nat table.<br />#<br />iptables -t nat -P PREROUTING ACCEPT<br />iptables -t nat -P POSTROUTING ACCEPT<br />iptables -t nat -P OUTPUT ACCEPT<br /><br />#<br /># reset the default policies in the mangle table.<br />#<br />iptables -t mangle -P PREROUTING ACCEPT<br />iptables -t mangle -P OUTPUT ACCEPT<br /><br />#<br /># flush all the rules in the filter and nat tables.<br />#<br />iptables -F<br />iptables -t nat -F<br />iptables -t mangle -F<br />#<br /># erase all chains that's not default in filter and nat table.<br />#<br />iptables -X<br />iptables -t nat -X<br />iptables -t mangle -X<br /><br />######### RESET DONE<br />echo "done!"<br />######### BRING UP FIREWALL<br />echo "Bringing Up Firewall... "<br /># Determine the external IP automatically:<br />EXTIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"<br /><br /># if u want to share your internet securely. u must do that by FORWARD chain.<br /> <br />iptables -P FORWARD DROP # assing the default policy to drop for FORWARD chain<br />iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT # accept all which come from your net and go to other net (like internet)<br />iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT<br />iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # allow all established related packets.<br /> <br />#now your local networks behind your firewall is in secure enough. <br /><br />#and if u wanna secure your gateway linux, u must do that by INPUT chain:<br /><br />iptables -P INPUT DROP<br />iptables -A INPUT -s 127.0.0.1/8 -j ACCEPT<br />iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT<br />iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT<br />iptables -A INPUT -s $EXTIP -j ACCEPT<br />iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br /><br />#open port:<br />#rule: iptables -A INPUT -i ppp0 -p (protocol) --dport (port_no) -j ACCEPT<br /><br />#FTP<br />iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT<br />#SSH<br />iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT<br />#SMTP<br />iptables -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT<br />#HTTP and HTTPS<br />#iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT<br />#iptables -A INPUT -i ppp0 -p tcp --dport 443 -j ACCEPT<br />#POP3<br />iptables -A INPUT -i ppp0 -p tcp --dport 110 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p tcp --dport 113 -j ACCEPT<br />#NTP<br />#iptables -A INPUT -i ppp0 -p tcp --dport 123 -j ACCEPT<br />#GAIM and C. on M$N<br />iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT<br />#eDonkey-aMule<br />iptables -A INPUT -i ppp0 -p tcp --dport 4661 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p udp --dport 4664 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p udp --dport 4672 -j ACCEPT<br />#edonkey webserber<br />iptables -A INPUT -i ppp0 -p tcp --dport 4711 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p tcp --dport 4712 -j ACCEPT<br />#Webmin<br />iptables -A INPUT -i ppp0 -p tcp --dport 10000 -j ACCEPT<br />#FreeDB and CDDB<br />#iptables -A INPUT -i ppp0 -p tcp --dport 888 -j ACCEPT<br />#iptables -A INPUT -i ppp0 -p tcp --dport 8880 -j ACCEPT<br />#Nicotine/Soulseek<br />iptables -A INPUT -i ppp0 -p tcp --dport 2234 -j ACCEPT<br />#DNS<br />iptables -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT<br />#PING (now disabled)<br />iptables -A INPUT -i ppp0 -p ICMP -j ACCEPT<br />#Mute port<br />iptables -A INPUT -i ppp0 -p tcp --dport 4900 -j ACCEPT<br />iptables -A INPUT -i ppp0 -p tcp --dport 4901 -j ACCEPT<br /><br />echo "Paranoid rules..."<br /># Deny and log (option -l) spoofed packets from external network (eth0) which mimic internal IP addresses<br />iptables -A INPUT -s 192.168.0.0/24 -i ppp0 -j REJECT<br />iptables -A INPUT -s 127.0.0.1/8 -i ppp0 -j DROP <br />#<br /># Per sicurezza imposto una regola di log finale ed una regola di drop come ultima risorsa<br />#<br />iptables -A INPUT -i ppp0 -j LOG --log-prefix "Default drop:"<br />iptables -A INPUT -i ppp0 -j DROP<br /><br />######### FIREWALL DONE<br />echo "Firewall done!"<br />######### MASQUERADING AND IP FORWARDING<br />echo -n "Enable Masquerading... "<br /># Next, an iptables rule to enable masquerading:<br /><br />iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE<br /><br /># Finally, enable ip forwarding (already active by default in my conf):<br /><br />echo 1 > /proc/sys/net/ipv4/ip_forward<br /><br />######### MASQUERADING AND IP FORWARDING DONE<br />echo "done!"<br />#save iptables<br />#iptables-save >/etc/sysconfig/iptables<br />echo "All done!"

Proud linux user # 372467 @ http://counter.li.org
Mandriva Cooker 2008 - Kernel 2.6.17-14mdv - KDE 3.5.7 - Gnome 2.16