Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
[GUIDA] CHAKRA - MANJARO -impostare definitivamente iptables e ip6tables da terminale
#1
Wink 
Questa GUIDA è per CHAKRA - MANJARO - e tutte le derivate di Arch ( systemd )

IMPORTANTE: NON ABILITARE KUFW ( interfaccia grafica del firewall )

aprite il terminale e loggatevi da ROOT con:

- sudo -s

Una volta divenuti ROOT digitare in sequenza i successivi comandi:

- iptables -P INPUT DROP

- iptables -P FORWARD DROP

- iptables -A INPUT -i lo -j ACCEPT

- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Se avete la necessità di usare il p2p, Ktorrent, altri servizi, aprite le loro porte prima di dare i 3 successivi comandi,i numeri di alcune porte li trovate QUI' Il numero relativo alla porta che che svolge un servizio è uguale a quella di Ubuntu...Comunque sull' interfaccia grafica del firewall ( da non abilitare ) sono presenti i relativi servizi con le rispettive porte da aprire..( ad es. Ktorrent 6881/tcp 4444/udp) Per recuperare il numero della porta da aprire usate l' interfaccia grafica MA NON abilitatela o vi rovinerà la configurazione.

( ES.x Ktorrent )
sudo iptables -A INPUT -p tcp --dport 6881 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4444 -j ACCEPT


- iptables-save > /etc/iptables/iptables.rules

- iptables-restore < /etc/iptables/iptables.rules

- systemctl enable iptables.service

PROTEGGIAMOCI ANCHE DA CONNESSIONI CHE USANO IPV6:

- ip6tables -P INPUT DROP

- ip6tables -P FORWARD DROP

- ip6tables -A INPUT -i lo -j ACCEPT

- ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

- ip6tables-save > /etc/iptables/ip6tables.rules

- ip6tables-restore < /etc/iptables/ip6tables.rules

- systemctl enable ip6tables.service

FINITOOOO !!! Riavviate e controllate lo stato di iptables con " sudo iptables -L " e lo stato di ip6tables con " sudo ip6tables -L "

Alla prossima puntata.. Ciao ! Idea

P.S. Questo è quel che io intendo per OTTIMA PROTEZIONE FIREWALL....Siete praticamente " blindati " ma riuscite comunque a fare ciò che volete...
I Heart GNU\Linux and PC-BSD too !!!
Il fine NON giustifica i mezzi !!
Cita messaggio
#2
Ok ... ho solo riscontrato due piccoli errori di sintassi nel secondo comando per aprire le porte di Ktorrent ... c'è un spazio in meno ed una parentesi in piu alla fine.

Ora son messo così

Codice:
[tumbler@tumbler ~]$ sudo iptables -L
Password:
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:6881
ACCEPT     udp  --  anywhere             anywhere             udp dpt:krb524

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Cita messaggio
#3
(15-03-2014, 18:41 )tumbler Ha scritto: Ok ... ho solo riscontrato due piccoli errori di sintassi nel secondo comando per aprire le porte di Ktorrent ... c'è un spazio in meno ed una parentesi in piu alla fine.

Ora son messo così

Codice:
[tumbler@tumbler ~]$ sudo iptables -L
Password:
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:6881
ACCEPT     udp  --  anywhere             anywhere             udp dpt:krb524

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Grazie, ho rimediato.Idea
I Heart GNU\Linux and PC-BSD too !!!
Il fine NON giustifica i mezzi !!
Cita messaggio
#4
Io iptables non l'ho mai capito piu di tanto ... devo ammetterlo ... ma i settaggi fatti che connessioni bloccano alla fine?
Cita messaggio
#5
(15-03-2014, 18:52 )tumbler Ha scritto: Io iptables non l'ho mai capito piu di tanto ... devo ammetterlo ... ma i settaggi fatti che connessioni bloccano alla fine?

Bloccano TUTTE le connessioni, permettono il solo traffico alle connessioni che sono richieste dall'utente. Se tu non avessi inserito Ktorrent nella configurazione, sarebbe stato bloccato anche lui ! Puoi tranquillamente navigare e scaricare, ma non entra altro, se non richiesto da te. ( es. aggiornamenti )
I Heart GNU\Linux and PC-BSD too !!!
Il fine NON giustifica i mezzi !!
Cita messaggio
#6
mamma mia il massimo della paranoia in sicurezza in pratica
prima di aprire un post usa il tasto cerca nel forum... forse il tuo problema è stato già trattato
Cita messaggio
#7
(15-03-2014, 21:16 )Big Johnny Ha scritto: mamma mia il massimo della paranoia in sicurezza in pratica

La paranoia è solo la realtà su una scala più sottile.
I Heart GNU\Linux and PC-BSD too !!!
Il fine NON giustifica i mezzi !!
Cita messaggio
#8
(15-03-2014, 21:16 )'Big Johnny' Ha scritto: mamma mia il massimo della paranoia in sicurezza in pratica

 
Eh no Johnny ... la paranoia è ben altro!!!
Diciamo semplicemente che a me non piacerebbe sapere che qualcuno può farsi i fatti miei penetrandomi a mia insaputa sfruttando delle porte lasciate aperte nelle connessioni ... son sicuro che la risposta sarà accorata: Se voglio hackerarti lo fanno comunque ... benissimo, ma non credi che rendere difficile la cosa o quanto meno fare il massimo per scongiurarla sia cosa dovuta???
Ad ognuno di voi le proprie riflessioni sul tema.

n.d.r. il firewall (al contrario dell'antivirus) non è un sistema di protezione a bensì un sistema di controllo ... ovvero si disciplinano mediante regole le connessioni in entrata ed in uscita dal e verso il proprio pc ... lasciando passare quello che si vuole e tenendo fuori quello che non si conosce ... un po come facciamo tutti i giorni a casa nostra Smile
Cita messaggio
#9
Teo ... ma fammi capire un attimo ... le connessioni OUTPUT e FORWARD non le abbiamo configurate ... e ci sta dal momento che non ho un server ne devo condividere nulla in nessuna rete interna ... ma le connessioni INPUT come son settate?


Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere    <------ Accetta tutte le richieste?        
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED <-------- Accetta tutte le richieste?
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:6881 <-- ktorrent?
ACCEPT     udp  --  anywhere             anywhere             udp dpt:krb524 <- ktorrent?

 
Cita messaggio
#10
(19-03-2014, 12:52 )tumbler Ha scritto: Teo ... ma fammi capire un attimo ... le connessioni OUTPUT e FORWARD non le abbiamo configurate ... e ci sta dal momento che non ho un server ne devo condividere nulla in nessuna rete interna ... ma le connessioni INPUT come son settate?


Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere    <------ Accetta tutte le richieste?        NO, questa consente il traffico che passa per l' interfaccia di loopback ( tutto il traffico interno al nostro computer 127.0.0.1 )
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED <-------- Accetta tutte le richieste? Solo le connessioni richieste dall' utente
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:6881 <-- ktorrent? Ktorrent !
ACCEPT     udp  --  anywhere             anywhere             udp dpt:krb524 <- ktorrent? Qui, sempre x Ktorrent
I Heart GNU\Linux and PC-BSD too !!!
Il fine NON giustifica i mezzi !!
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)