| Autore |
 Discussione  |
|
|
Lore84
Advanced Member
.jpg)
Città: Pisa
293 Messaggi |
 Inserito il - 09/06/2007 : 15:17:31
|
sono alle prese con ubuntu..
il problema ora è il firewall, firestarter. ho letto la guida ufficiale (in inglese ma comprensibile, almeno credo) ma non mi riesce farlo funzionare.
ad esempio: per navigare gli ho dato questa regola.
Schermata.png
in questo modo il browser dovrebbe navigare e invece non carica le pagine..
edit: ehm ora sto navigando senza firewall.. su xp sarebbe un suicidio.. con i sistemi gnu/linux è una cosa temporaneamente tollerabile?
da quello che ho letto non credo sia una cosa positiva..
|
Modificato da - Lore84 in Data 09/06/2007 16:23:33
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 09/06/2007 : 18:41:00
|
Firestarter io l'ho abbandonato, non sono mai riuscito a capire cosa realmente aprivo o chiudevo, ora uso questo sistema:
Forum Ubuntu.it - settare firewall
lo script che ho in uso in questo momento è questo:
#!/bin/bash
#
# Firewall personale by Benjamin (Mizar)
############################################
######################################################
# Indirizzo web di origine #
# htt*://forum.ubuntu-it.org/index.php?topic=12833.0 #
######################################################
#########################
# Definizione Variabili #
#########################
IPTABLES="/sbin/iptables"
IFLO="lo"
IFEXT1="eth0" # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc
IFEXT2="eth1" # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc
case "$1" in
start)
########################
# Attivazione Firewall #
########################
echo -n "Attivazione Firewall: "
#################################
# Caricamento Moduli del Kernel #
#################################
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_state
modprobe ipt_tos
modprobe iptable_mangle
############################
# Reset delle impostazioni #
############################
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
################################
# Impostazione Policy standard #
################################
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
#################################
# Abilitazione traffico interno #
#################################
$IPTABLES -A INPUT -i $IFLO -j ACCEPT
$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
#############################################################################
# Abilitazione traffico in entrata solo se relativo a pacchetti in risposta #
#############################################################################
$IPTABLES -A INPUT -p tcp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT1 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -i $IFEXT2 -m state -s 0/0 --state ESTABLISHED,RELATED -j ACCEPT
#########
# samba #
#########
$IPTABLES -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 138 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT
########################
# Apertura porte aMule #
########################
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
##########################
# Apertura porte Azureus #
##########################
iptables -A INPUT -p tcp --dport 6881 -j ACCEPT
#######################
# Apertura porte aMsn #
#######################
iptables -A INPUT -p tcp --dport 1683 -j ACCEPT
echo "ok"
;;
stop)
###########################
# Disattivazione Firewall #
###########################
echo -n "Disattivazione Firewall: "
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
echo "ok"
;;
status)
##############################
# Display stato del Firewall #
##############################
echo -n "Regole attuali nel Firewall: "
$IPTABLES -L
;;
restart|reload)
$0 stop
$0 start
;;
*)
echo "Utilizzo: firewall {start|stop|restart|reload|status}" >&2
exit 1
;;
esac
exit 0
C'è una nuova versione (verso la fine della discussione), non l'ho ancora provata ma dicono che sia molto migliore, leggi con calma che è piuttosto lunga..
Senza Firewall meglio non giocherellare troppo, daccordo che su Linux si è abbastanza al sicuro, ma non bisogna esagerare.
Ti segnalo inoltre, se per caso usi aMule, è uscita la prima versione di Peerguardian per linux (Ubuntu), vedi qui:
htt*://ubuntuforums.org/showthread.php?t=95793
Ciao. |
 |
|
|
Lore84
Advanced Member
Città: Pisa
293 Messaggi |
Inserito il - 09/06/2007 : 18:48:18
|
da provare.. cmq mi rincuora sapere che non sono il solo a non capire firestarter :D
per peerguardian, grazie ma io sono la "cavia" dell'altro post
peergurdian che tra l'altro va a meraviglia |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 09/06/2007 : 18:50:42
|
Acc.. che figuraccia 
Vabbe, guardati la discussione sul firewall, hai un programma in meno avviato = risorse libere in più.
Ciao |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 10/06/2007 : 00:23:20
|
| Non conosco firestarter se non per nome, ma a giudicare dallo screenshot che hai postato credo che l'errore risieda nella catena nella quale vai a impostare quella regola. Infatti c'è scritto Inbound traffic policy, in pratica hai autorizzato tutte le connessione in entrata dirette sulla porta 80, come se tu fossi un server web. Credo che in realtà dovresti impostare quella stessa regola ma in Outbound traffic policy (auotorizzare il traffico in uscita diretto sulla porta 80). |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 10/06/2007 : 05:41:24
|
Dimenticavo una cosa, Gimli mi aveva fatto modificare un file su Firestarter:
/etc/firestarter/firewall
bisognava commentare queste tre linee:
# if [ "$BCAST" != "" ]; then
# $IPT -A INPUT -d $BCAST -j DROP
# fi
Facendo quella modifica ragionava un pò meglio..
Ciao. |
|
|
|
Lore84
Advanced Member
Città: Pisa
293 Messaggi |
Inserito il - 10/06/2007 : 10:02:33
|
Citazione:
Messaggio inserito da pedrus
Non conosco firestarter se non per nome, ma a giudicare dallo screenshot che hai postato credo che l'errore risieda nella catena nella quale vai a impostare quella regola. Infatti c'è scritto Inbound traffic policy, in pratica hai autorizzato tutte le connessione in entrata dirette sulla porta 80, come se tu fossi un server web. Credo che in realtà dovresti impostare quella stessa regola ma in Outbound traffic policy (auotorizzare il traffico in uscita diretto sulla porta 80).
hai ragione e infatti ho controllato! ho provato in tutti i modi e non funziona lo stesso apro inbound, apro outbound, apro entrambi ma niente.. ho deciso: è più semplice buttarmi sullo script
prima domanda. lo script del firewall va copiato in /etc/init.d e poi va selezionato con BUM per caricarlo all'avvio? (ovviamente lo rendo eseguibile)
edit: non sembra poi più complicato di far funzionare firestarter
no ma dico un zone alarm per linux no? |
|
|
|
Lore84
Advanced Member
Città: Pisa
293 Messaggi |
Inserito il - 10/06/2007 : 14:42:56
|
lorenzo[No-Spam]lorenzo-desktop:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT udp -- anywhere anywhere udp dpt:4665
ACCEPT udp -- anywhere anywhere udp dpt:4672
ACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:1683
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ho usato lo script di Yves togliendo tutto quello riferito a SAMBA che credo non mi serva.
ho copiato lo script nell'editor di testo, l'ho copiato in /etc/init.d con tutti i permessi e con BUM
l'ho selezionato all'avvio.
mantenendo amule amsn e azureus dovrei essere tranquillo ma se dovessi aprire delle porte
potrei comodamente aggiungere una "voce" basandomi sul modello? per esempio:
##########################
# Apertura porte Azureus #
##########################
iptables -A INPUT -p tcp --dport 6881 -j ACCEP
dove metto il commento "apertura porte pincopallo"
iptables -A INPUT -p "il tipo di porta" --dport "il numero della porta" -j ACCEP
spero di essermi spiegato
e poi come faccio per vedere se funziona tutto per bene?
è caricato in BUM ma per provare a lanciarlo, fermalo e ricaricarlo, come si usano i comandi start, stop e reload. ho letto il post sul forum di ubuntu ma non è tutto molto chiaro... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 10/06/2007 : 20:04:06
|
premesso che sto anch'io studiando iptables, molto meglio di usare firestarter
ti posso dire che con lo stesso sistema puoi aprire tutte le porte che vuoi,
lo script non è altro che un file di testo poi autorizzato a diventare eseguibile perciò tutte le modifiche si fanno come in un qualsiasi note.
chiaramente ogni volta che modifichi devi sostituirlo al precedente.
al momento non uso bum perchè sono in fase di settaggio ed utilizzo questi comandi da terminale:
comandi firewall
Da linea di comando puoi lanciarlo, dopo averlo inserito in /etc/init.d ed averlo reso eseguibile con:
Codice:
sudo chmod 755 /etc/init.d/firewall
Le possibilità di lancio sono:
Codice:
sudo /etc/init.d/firewall start
per farlo partire,
Codice:
sudo /etc/init.d/firewall stop
per fermarlo,
Codice
sudo /etc/init.d/firewall reload
per farlo farlo ripartire,
Codice:
sudo /etc/init.d/firewall status
per farti stampare sul terminale l'impostazione attuale.
|
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 10/06/2007 : 20:05:12
|
il controllo? di per se lo script ne ha uno:
sudo /etc/init.d/firewall status
il risultato, comunque, è lo stesso di:
sudo iptables -L
Visto l'output che ti da deve essere attivo, per controllare fai questa semplice manovra:
sudo /etc/init.d/firewall stop
quindi:
sudo iptables -L
avrai un output tipo:
yves[No-Spam]tux-box:~$ sudo iptables -L
Password:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ora se ridai:
sudo /etc/init.d/firewall start
quindi:
sudo iptables -L
nel mio caso:
yves[No-Spam]tux-box:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- 192.168.0.0/24 anywhere udp dpt:netbios-ns
ACCEPT udp -- 192.168.0.0/24 anywhere udp dpt:netbios-dgm
ACCEPT tcp -- 192.168.0.0/24 anywhere state NEW tcp dpt:netbios-ssn
ACCEPT tcp -- 192.168.0.0/24 anywhere state NEW tcp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT udp -- anywhere anywhere udp dpt:4665
ACCEPT udp -- anywhere anywhere udp dpt:4672
ACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:1683
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
Come vedi il cambiamento c'è, i comandi sudo iptables -L e sudo /etc/init.d/firewall status danno lo stesso identico output, sono equivalenti, se quando avvii il sistema l'output è corretto (cioè hai le regole impostate) significa che lo script si è caricato come si deve, a te di modificarle a tua necessità.
Ciao. |
|
|
|
Lore84
Advanced Member
Città: Pisa
293 Messaggi |
Inserito il - 10/06/2007 : 20:59:25
|
penso di aver capito ora sono di fretta, comunque è piuttosto semplice, almeno visto così
ancora grazie per aiutarmi nella mia "migrazione" da xp |
|
|
|
alejandro_daniel
Senior Member
92 Messaggi |
Inserito il - 16/11/2007 : 18:37:59
|
| quando posso torno a questo bellissimo forum(complimenti per la nuova facciata ).consiglio iptables da script.io mi son creato una interfaccia col gamberone per gestire iptables con le stesse regole di Yves.nessun problema,anzi nei siti di "collaudo" on-line di firewall tutto ok. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 16/11/2007 : 20:41:00
|
Prima che qualcuno mi pigli in flagrante, sono scopiazzate spudoratamente (ed un pò modificate per le mie esigenze, ad esempio le due interfacce di rete) dal forum di Ubuntu-It, e più particolarmente bisogna seguire questa discussione:
htt*://forum.ubuntu-it.org/index.php?topic=12833.0 |
|
|
| |
Discussione |
|
problema firestarter ubuntu
Forum Bloccato
