Consenso all'uso dei cookies

Teo

Questa GUIDA è per CHAKRA - MANJARO - e tutte le derivate di Arch ( systemd )

IMPORTANTE: NON ABILITARE KUFW ( interfaccia grafica del firewall )

aprite il terminale e loggatevi da ROOT con:

- sudo -s

Una volta divenuti ROOT digitare in sequenza i successivi comandi:

- iptables -P INPUT DROP

- iptables -P FORWARD DROP

- iptables -A INPUT -i lo -j ACCEPT

- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Se avete la necessità di usare il p2p, Ktorrent, altri servizi, aprite le loro porte prima di dare i 3 successivi comandi,i numeri di alcune porte li trovate QUI' Il numero relativo alla porta che che svolge un servizio è uguale a quella di Ubuntu...Comunque sull' interfaccia grafica del firewall ( da non abilitare ) sono presenti i relativi servizi con le rispettive porte da aprire..( ad es. Ktorrent 6881/tcp 4444/udp) Per recuperare il numero della porta da aprire usate l' interfaccia grafica MA NON abilitatela o vi rovinerà la configurazione.

( ES.x Ktorrent )
sudo iptables -A INPUT -p tcp --dport 6881 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4444 -j ACCEPT

- iptables-save > /etc/iptables/iptables.rules

- iptables-restore < /etc/iptables/iptables.rules

- systemctl enable iptables.service

PROTEGGIAMOCI ANCHE DA CONNESSIONI CHE USANO IPV6:

- ip6tables -P INPUT DROP

- ip6tables -P FORWARD DROP

- ip6tables -A INPUT -i lo -j ACCEPT

- ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

- ip6tables-save > /etc/iptables/ip6tables.rules

- ip6tables-restore < /etc/iptables/ip6tables.rules

- systemctl enable ip6tables.service

FINITOOOO !!! Riavviate e controllate lo stato di iptables con " sudo iptables -L " e lo stato di ip6tables con " sudo ip6tables -L "

Alla prossima puntata.. Ciao ! Idea

P.S. Questo è quel che io intendo per OTTIMA PROTEZIONE FIREWALL....Siete praticamente " blindati " ma riuscite comunque a fare ciò che volete...

**tumbler** · 15-03-2014, 18:41

Ok ... ho solo riscontrato due piccoli errori di sintassi nel secondo comando per aprire le porte di Ktorrent ... c'è un spazio in meno ed una parentesi in piu alla fine.

Ora son messo così

Codice:

[tumbler@tumbler ~]$ sudo iptables -L

Password:

Chain INPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:6881

ACCEPT     udp  --  anywhere             anywhere             udp dpt:krb524

Chain FORWARD (policy DROP)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

Teo · 15-03-2014, 18:48

(15-03-2014, 18:41 )tumbler Ha scritto: Ok ... ho solo riscontrato due piccoli errori di sintassi nel secondo comando per aprire le porte di Ktorrent ... c'è un spazio in meno ed una parentesi in piu alla fine.

Ora son messo così

Codice:

[tumbler@tumbler ~]$ sudo iptables -L Password: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:6881 ACCEPT udp -- anywhere anywhere udp dpt:krb524 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

Grazie, ho rimediato. Idea

**tumbler** · 15-03-2014, 18:52

Io iptables non l'ho mai capito piu di tanto ... devo ammetterlo ... ma i settaggi fatti che connessioni bloccano alla fine?

Teo · 15-03-2014, 19:07

(15-03-2014, 18:52 )tumbler Ha scritto: Io iptables non l'ho mai capito piu di tanto ... devo ammetterlo ... ma i settaggi fatti che connessioni bloccano alla fine?

Bloccano TUTTE le connessioni, permettono il solo traffico alle connessioni che sono richieste dall'utente. Se tu non avessi inserito Ktorrent nella configurazione, sarebbe stato bloccato anche lui ! Puoi tranquillamente navigare e scaricare, ma non entra altro, se non richiesto da te. ( es. aggiornamenti )

Big Johnny · 15-03-2014, 21:16

mamma mia il massimo della paranoia in sicurezza in pratica

Teo

(15-03-2014, 21:16 )Big Johnny Ha scritto: mamma mia il massimo della paranoia in sicurezza in pratica

La paranoia è solo la realtà su una scala più sottile.

**tumbler** · 16-03-2014, 06:15

(15-03-2014, 21:16 )'Big Johnny' Ha scritto: mamma mia il massimo della paranoia in sicurezza in pratica

Eh no Johnny ... la paranoia è ben altro!!!
Diciamo semplicemente che a me non piacerebbe sapere che qualcuno può farsi i fatti miei penetrandomi a mia insaputa sfruttando delle porte lasciate aperte nelle connessioni ... son sicuro che la risposta sarà accorata: Se voglio hackerarti lo fanno comunque ... benissimo, ma non credi che rendere difficile la cosa o quanto meno fare il massimo per scongiurarla sia cosa dovuta???
Ad ognuno di voi le proprie riflessioni sul tema.

n.d.r. il firewall (al contrario dell'antivirus) non è un sistema di protezione a bensì un sistema di controllo ... ovvero si disciplinano mediante regole le connessioni in entrata ed in uscita dal e verso il proprio pc ... lasciando passare quello che si vuole e tenendo fuori quello che non si conosce ... un po come facciamo tutti i giorni a casa nostra Smile

**tumbler** · 19-03-2014, 12:52

Teo ... ma fammi capire un attimo ... le connessioni OUTPUT e FORWARD non le abbiamo configurate ... e ci sta dal momento che non ho un server ne devo condividere nulla in nessuna rete interna ... ma le connessioni INPUT come son settate?

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere    <------ Accetta tutte le richieste?
ACCEPT     all -- anywhere             anywhere             state RELATED,ESTABLISHED <-------- Accetta tutte le richieste?
ACCEPT     tcp -- anywhere             anywhere             tcp dpt:6881 <-- ktorrent?
ACCEPT     udp -- anywhere             anywhere             udp dpt:krb524 <- ktorrent?

Teo

(19-03-2014, 12:52 )tumbler Ha scritto: Teo ... ma fammi capire un attimo ... le connessioni OUTPUT e FORWARD non le abbiamo configurate ... e ci sta dal momento che non ho un server ne devo condividere nulla in nessuna rete interna ... ma le connessioni INPUT come son settate?

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all -- anywhere             anywhere    <------ Accetta tutte le richieste?       NO, questa consente il traffico che passa per l' interfaccia di loopback ( tutto il traffico interno al nostro computer 127.0.0.1 )
ACCEPT     all -- anywhere             anywhere             state RELATED,ESTABLISHED <-------- Accetta tutte le richieste? Solo le connessioni richieste dall' utente
ACCEPT     tcp -- anywhere             anywhere             tcp dpt:6881 <-- ktorrent? Ktorrent !
ACCEPT     udp -- anywhere             anywhere             udp dpt:krb524 <- ktorrent? Qui, sempre x Ktorrent

Login
Nome utente:
Password:	Password dimenticata?
	Ricordami