[Linux-Biella] Impostare IPTable in modo sicuro (firewall)

Daniele (Mastro) daniele.bilug a gmail.com
Mer 11 Ott 2006 00:28:10 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ciao,

ne approfitto (aspettavo proprio che rifunzionasse la mailing list)

vorrei ottenere una configurazione di rete sicura

il mio pc fa spesso da gateway per una piccola lan domestica (quindi ho
bisogno del masquerading)

per ora... non ho fatto altro che installare ipmasq... così anche gli
altri possono navigare... (a patto che utilizzino un qualche server dns)

dubito fortemente che la mia sia una configurazione sicura però...

so che esistono diversi tool per impostare l'IPTable.. e se ho capito
bene esiste "SELinux" per ottenere una sicurezza assoluta.. ma ho letto
su web che è una mazzata da configurare...

ah.. e ovviamente ho visto che si può impostare iptable anche
manualmente.. il che mi fa molto piacere.. ma se non so come impostarla
non me ne faccio molto!

non essendo io un esperto di sicurezza (per niente proprio) mi chiedevo...

potete consigliarmi qualche buon programma che mi permetta di ottenere
una configurazione abbastanza sicura nonostante la mia ignoranza in materia?

potete consigliarmi qualche link dove c'è una guida "noob to pro" sulla
sicurezza con particolar riferimento alla configurazione di iptable?

qualsiasi delucidazione mi farà piacere :)

vi ricordate che mi si era sputtanata l'installazione? ho il forte
sospetto che possa essere dovuto proprio ad una configurazione mal fatta
del mio "firewall" che ha lasciato qualche entrata a qualche buon
tempone... penso questo perchè: "non funzionava più l'usb, si comportava
in maniera strana (non ricordo esattamente perché ho poi reinstallato
subito dopo aver notato che...), sembrava non accettare in alcun modo la
password di root.. come se non fosse più quella.."
ecco.. quella volta stavo usando "guardog + guidedog"

ho letto di un certo "webmin", qualcuno ne parla bene.. qualcun altro
l'opposto... così incapace di decidere mi rimetto a voi...

tanto per... ecco cosa mi dice iptable

# iptables -L -v --line-numbers
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source
 destination
1       20  1384 ACCEPT     all  --  lo     any     anywhere
 anywhere
2        0     0 LOG        all  --  !lo    any     127.0.0.0/8
 anywhere            LOG level warning
3        0     0 DROP       all  --  !lo    any     127.0.0.0/8
 anywhere
4        0     0 ACCEPT     all  --  eth0   any     anywhere
 255.255.255.255
5      120 19165 ACCEPT     all  --  eth0   any     192.168.1.0/24
 anywhere
6        0     0 ACCEPT    !tcp  --  eth0   any     anywhere
 BASE-ADDRESS.MCAST.NET/4
7       16   832 LOG        all  --  ppp0   any     192.168.1.0/24
 anywhere            LOG level warning
8       16   832 DROP       all  --  ppp0   any     192.168.1.0/24
 anywhere
9        0     0 ACCEPT     all  --  ppp0   any     anywhere
 255.255.255.255
10   48665   58M ACCEPT     all  --  ppp0   any     anywhere
 host163-51-dynamic.8-87-r.retail.telecomitalia.it
11     148  4869 LOG        all  --  any    any     anywhere
 anywhere            LOG level warning
12     148  4869 DROP       all  --  any    any     anywhere
 anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source
 destination
1     7406  775K ACCEPT     all  --  eth0   ppp0    192.168.1.0/24
 anywhere
2     9680   12M ACCEPT     all  --  any    any     anywhere
 anywhere            state RELATED,ESTABLISHED
3        0     0 LOG        all  --  any    ppp0    anywhere
 192.168.1.0/24      LOG level warning
4        0     0 DROP       all  --  any    ppp0    anywhere
 192.168.1.0/24
5        0     0 LOG        all  --  any    any     anywhere
 anywhere            LOG level warning
6        0     0 DROP       all  --  any    any     anywhere
 anywhere

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source
 destination
1       20  1384 ACCEPT     all  --  any    lo      anywhere
 anywhere
2        0     0 ACCEPT     all  --  any    eth0    anywhere
 255.255.255.255
3       11  1584 ACCEPT     all  --  any    eth0    anywhere
 192.168.1.0/24
4        1   165 ACCEPT    !tcp  --  any    eth0    anywhere
 BASE-ADDRESS.MCAST.NET/4
5        0     0 LOG        all  --  any    ppp0    anywhere
 192.168.1.0/24      LOG level warning
6        0     0 DROP       all  --  any    ppp0    anywhere
 192.168.1.0/24
7        0     0 ACCEPT     all  --  any    ppp0    anywhere
 255.255.255.255
8    41933 3100K ACCEPT     all  --  any    ppp0
host163-51-dynamic.8-87-r.retail.telecomitalia.it  anywhere
9        0     0 LOG        all  --  any    any     anywhere
 anywhere            LOG level warning
10       0     0 DROP       all  --  any    any     anywhere
 anywhere


mi aspetto un po' di insulti :) ma spero che seguano anche i consigli...
(se ho ben capito vengono processate le regole per tabella e dall'alto
verso il basso in ordine... però leggerla mi resta ancora difficile)

- --
ciao,
Daniele
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFLB56i33/AIKoeisRAggHAJ0XtDO4p0ivLiJcLAfY2oaCGq8D9ACfYhP+
HhZ+yswItwm8iJzkhtxc+sY=
=tCP8
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista Linux