Re: dubbi iptables

2005-02-02 Per discussione negus 
Ciao Paolo,
Allora... lavora da root!!! 
lavoro sempre da root in quanto non ho altri utenti configurati
Fatti un link di /etc/init.d/iptables in /etc/rc.boot/ (o come cavolo si
chiama in Woddy) eseguendo:
#ln -s /etc/init.d/iptables /etc/rc.boot/S40iptables
fatto
Riavvia la macchina, sempre da root esegui "iptables -L -v" e postane
in lista l'output.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target   prot opt in  out   source  destination
Chain FORWARD(policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target   prot opt in  out   source  destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target   prot opt in  out   source  destination
Saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-02-01 Per discussione negus 
negus ha scritto:
Ciao paziente amico di sventura,
output del comando iptables-save:
Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
#Completed on Sun Jan 30 23:08:00 2005

Bene, allora questa volta esegui "iptables-save > /etc/iptables.rules"
e guarda se quel benedetto file ti è stato creato!
ho eseguito tutto come da tue indicazioni, non ricevo nessun messaggio 
di errore, le regole si attivano nel senso che mi viene negato qualsiasi 
tentativo di accesso alla Linux Box, ma niente il benedetto file non si 
crea.

Saluti,
Edo
Ciao Paolo,
appena arrivato a casa come sempre come prima cosa ho acceso il computer 
e con immenso piacere ho verificato la presenza del file 
/etc/iptables.rules, era ora.

Il mio post precedente era stato inviato senza verificare la presenza 
del file dopo un riavvio, mea culpa.

Credo che ora siamo sulla buona strada.
Aspetto con ansia tue notizie, grazie per la tua pazienza,
Edo

Re: dubbi iptables

2005-01-31 Per discussione negus 
Ciao paziente amico di sventura,
output del comando iptables-save:
Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
#Completed on Sun Jan 30 23:08:00 2005

Bene, allora questa volta esegui "iptables-save > /etc/iptables.rules"
e guarda se quel benedetto file ti è stato creato!
ho eseguito tutto come da tue indicazioni, non ricevo nessun messaggio 
di errore, le regole si attivano nel senso che mi viene negato qualsiasi 
tentativo di accesso alla Linux Box, ma niente il benedetto file non si 
crea.

Saluti,
Edo

Re: dubbi iptables

2005-01-30 Per discussione negus 
Ciao a Paolo ed a tutto il NG,
Allora facciamo così: dopo aver setato le solite tre policy di DROP
per le tre catene
esegui (sempre come root) in console "iptables-save" e dimmi l'output
che ti viene
a video.
output del comando iptables-save:
Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
#Completed on Sun Jan 30 23:08:00 2005
Saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-29 Per discussione negus 
Ciao a Paolo ed a tutto il NG,
Allora prossimo passo è dirmi se hai iptables-restore e iptables-restore.
Se li hai, dopo aver dato le tre regole per settare le policy delle tre catene,
esegui nuovamemte un "/etc/init.d/iptables save" in una shell, posta
in lista l'output
ho impostato le regole a DROP per le tre catene e ho dato il comando:
/etc/init.d/iptables save, ottenendo questo output:
Saving iptables rulset: save "" with counters/etc/init.d/iptables:
 /var/lib/iptables/: Is a directory
dopo di che ho dato il comando /etc/init.d/iptables restore ottenendo 
questo output:

/etc/init.d/iptables options:
  start| restart | reload| force-reload
load the "active" rulset
  save 
save the current rulset
  load 
load a rulset
  stop
load the "inactive" rulset
 clear
remove all rules and user-defined chains, set default policy to ACCEPT
 halt
  remove all rules and user-defined chains, set default policy to DROP
Saved rulesets:
Please read: /etc/default/iptables
Il file /etc/iptables.rules non è stato creato
Saluti,
Edo

Re: dubbi iptables

2005-01-29 Per discussione negus 
Caio a Paolo ed a tutto il NG,
Allora fai cosi:
   -esegui 'iptables -P INPUT DROP'
   -esegui 'iptables -P FORWARD DROP'
   -esegui 'iptables -P OUTPUT DROP'
fatto!
   -posta in lista l'output di 'iptables -L -v'
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target   prot in  out   source  destination
(stessa cosa le due altre catene)prima dei tre comandi le catene sono 
impostate su ACCEPT.
Mettendo tutto su DROP effettivamente mi viene bloccato tutto, quindi 
deduco che iptables funzioni!!!

   -dimmi se hai i comandi iptables-restore e iptables-save
come faccio a verificarlo?
PS: ha compilato nel kernel il packet filtering? ... spero di si!
no non ho cmpilato il kernel, uso il bf24 senza modifiche 
dell'installazione ti sarei grato se potessi darmi qualche indicazione o 
magari inviarmi il tuo .config(so come si compila il kernel l'ho fatto 
diverse volte ma ancora non ho molta dimistichezza con le varie 
impostazioni.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-28 Per discussione negus 
Ciao a Paolo e a tutto il NG
esegui 'iptables -F'.
Se c'è dell'output
 postalo in lista
output= ip_tables: (C) 2000-2002 Netfilter core team
altrimenti
 esegui 'iptables -P INPUT DROP'
 esegui 'iptables -P FORWARD DROP'
 esegui iptables -P OUTPUT DROP'

 
 Se uno dei tre comandi precedenti ha buttato fuori dell'output
 postalo in lista;
nessun output
 altrimenti
 esegui /etc/init.d/iptables save
 se c'è dell'output postalo e
output:
Saving iptables rulset: save "" with counters/etc/init.d/iptables: 
/var/lib/iptables/: Is a directory

 fammi sapere se ti è stato creato il file /etc/iptables.rules
no non è stato creato
*spero che quanto detto sopra sia chiaro in caso chiedi*
tutto molto chiaro, grazie!
A proposito del fatto che hai Woody: a meno che non lo utilizzi esclusivamente
come server ti consiglio di fare un "dist upgrade" a Sarge che come Desktop è
molto ma molto meglio (inoltre ti rendi la vita 1000 volte più facile).
ho installato la Sarge ed anche con essa ho provato a modificare il file 
/etc/network/interface secondo le indicazioni dei tuoi post precedenti, 
ovvero aggiungendo all'ultima riga:

pre-up /etc/network/if-pre-up.d/fir.sh;
si è verificato lo stesso problema, ovvero al riavvio la eth0 perde 
l'indirizzo; ho effettuato molte prove ed ho verificato che la stringa 
pre-up è la causa del problema. Se la ometto la eth0 mantiene 
l'indirizzo, anche se poi il firewall comunque non funziona.
Secondo te come mai si verifica questo inconveniente?
Comunque ho reinstallato la Woody ed è con quella che ho effettuato le 
prove.
Saluti e ancora grazie,

Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-27 Per discussione negus 
Ciao a Paolo ed a tutto il NG
Hai messo in cima al file un bel "auto eth0" per dire che ti tiri su
lui in automatico l'interfaccia?
auto eth0 è presente in /etc/network/interfaces ma non c'è nello script
mmh... mi sa che lo script non viene eseguito!
Vedo che tu hai postato "pre-up/etc/network/if-pre-up.d/fir.sh" invece è 
"pre-up /etc/network/if-pre-up.d/fir.sh" (manca uno spazio!).
nello script lo spazio c'è, è stato un errore di battitura!

Se hai voglia facciamo cosi, una soluzione passo-passo
certo che ne ho voglia e grazie per la disponibilità!
- ripulisci dalle tue modifiche fatte finora
ho formattato, ho un sistema pulito con sopra installato soltanto mc, 
kernel bf24 standard

- posta in lista l'intero contenuto di /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
 address 192.168.2.150
 netmask 255.255.255.0
 network 192.168.2.0
 broadcast 192.168.2.255
 gateway 192.168.2.250
 pre-up /etc/network/if-pre-up.d/fir.sh
(ho omesso soltanto le righe di commento)
- prendi lo script che ti ho passato è copialo in /etc/init.d/
... per cominciare.
fatto
Paolo
PS: tu non hai la cartella /etc/rcS.d? hai la /etc/rc.boot?
penso che allora tu non abbia Sid ma Sarge...
uso la Woody 3.0r4
Spero di riuscire con il tuo aiuto a vedere finalmente funzionare iptables,
Saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-27 Per discussione negus 
Ciao a Paolo e a tutto il NG,
sono ancora alle prese con la configurazione di iptables, spero di 
riuscire ad esporre bene i miei problemi.

Utilizzo una Woody 3.0r4 con il kernel bf24 dell'installazione standard.
paolo ha scritto:
Per esempio nel mio /etc/network/interface ho:
...
iface eth0 inet static
address 192.168.2.150
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.250
pre-up /etc/network/if-pre-up.d/restore_nameserver.sh
Ho seguito il consiglio di Paolo ed ho inserito in 
/etc/network/interfaces alla fine di eth0 la stringa: 
pre-up/etc/network/if-pre-up.d/fir.sh in quanto ho posizionato lo script 
 in if-pre-up.d

fir.sh è lo script che utilizzo per il firewall:
#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
Lo script (che ha i permessi di esecuzione) è volutamente semplice e mi 
serve per iniziare a fare pratica.

Il problema che si presenta è questo:
al riavvio la eth0 perde l'indirizzo.
L'imputazione del comando ifconfig mi mostra la sola interfaccia di 
loopback.

Ho provato a riassegnare all'interfaccia l'indirizzo, ma le regole non 
funzionano, nel senso che invece di negarmi tutto riesco per esempio a 
connettermi in SSH.

Ho provato anche ad inserire lo script in :/etc/rc.boot, ed anche in :
/etc/init.d (per farlo partire all'avvio tramite rcconf) ma niente non 
funziona.

Ho spulciato molta documentazione in rete nonchè tantissimi messaggi di 
questo ed altri NG ma niente non riesco a venire a capo della situazione.

Un grazie anticipato a tutti,
saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-25 Per discussione negus 
paolo ha scritto:
On 16 Jan 2005 21:55:49 -0800, negus <[EMAIL PROTECTED]> wrote:
Premetto che tramite il tool rcconf ho settato IPTables in modo da
farlo partire all'avvio della macchina.

Strano, io inizialmente non avevo nessuno script in /etc/init.d, ho
dovuto farmelo e ho messo un suo link in /etc/rcS.d cosi che venisse lanciato 
ad ogni avvio. Ti sto parlando del mio laptop con cui utilizzo sia la adsl
a casa (eth0) sia la wlan all'università (eth1): lo svantaggio di
questa soluzione
è che ogni volta tiro su tutte le regole di filtering sia per la eth0
che per la eth1
visto che non so a priori che interfaccia andrò a utilizzare.


Il mio dubbio principale riguarda la directory dove posizionare lo
script.
Dalla documentazione trovata in giro mi è sembrato di capire che è
consigliabile posizionare lo script in:
etc/network/if-pre-up.d
in modo tale che venga eseguito prima che vada su l'interfaccia da
filtrare.

Esattamente. Questa però è una seconda soluzione che ti permette di
eseguire uno o più script per ogni interfaccia -> soluzione più
flessibile.
Mi spiego... In /etc/network/interfaces puoi specificare lo script che
deve venire
eseguito prima che venga tirata su una specifica interfaccia. In
questo modo, per esempio, puoi impostare in iptables determinate
regole per quando usi la eth0, altre quando usi la eth1. Nota che puoi
anche specificare gli script da eseguire dopo che una interfaccia è
stata tirata giù (questi vanno in
/etc/network/interfaces/if-post-down.d).
Per esempio nel mio /etc/network/interface ho:
...
iface eth0 inet static
address 192.168.10.133
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255
gateway 192.168.10.1
pre-up /etc/network/if-pre-up.d/restore_nameserver.sh
...
in modo che prima di tirare su la eth0 eseguo 'restore_nameserver.sh'.
Nel mio script vado a toccare il file '/etc/resolv.conf', nel tuo
dovrai caricare
le regole di iptables!
In teoria potresti non specificare l'intero path dello script visto
che si trova nella directory predefinita
'/etc/network/if-pre-up.d/'... ma a me, se non lo specifico per
intero, non funzia (anzi qualcuno sa il perchè?).
Oltre all'opzione 'pre-up' ci sono anche 'up', 'post-down' e 'down',
il cui meccanismo
è facilmente intuibile. Comunque trovi tutto spiegato bene in 'man interfaces'.
Paolo
Ciao Paolo,
ti volevo chiedere la cortesia di inviarmi lo script che utilizzi sul 
tuo portatile per effettuare delle prove nella mia rete, ne ho trovati 
altri in rete ma sono un pò troppo complessi.

La richiesta è indirizzata anche a tutto il NG, l'ideale sarebbe uno 
script che qualcuno di voi utilizza correntemente e che quindi possa 
fornirmi idicazioni precise sul funzionamento.

Mi interessa avere uno script funzionante ma soprattutto capirne la 
logica; un grazie anticipato a tutti.

Saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: dubbi iptables

2005-01-19 Per discussione negus 
paolo ha scritto:
On 16 Jan 2005 21:55:49 -0800, negus <[EMAIL PROTECTED]> wrote:
Premetto che tramite il tool rcconf ho settato IPTables in modo da
farlo partire all'avvio della macchina.

Strano, io inizialmente non avevo nessuno script in /etc/init.d, ho
dovuto farmelo e ho messo un suo link in /etc/rcS.d cosi che venisse lanciato 
ad ogni avvio. Ti sto parlando del mio laptop con cui utilizzo sia la adsl
a casa (eth0) sia la wlan all'università (eth1): lo svantaggio di
questa soluzione
è che ogni volta tiro su tutte le regole di filtering sia per la eth0
che per la eth1
visto che non so a priori che interfaccia andrò a utilizzare.


Il mio dubbio principale riguarda la directory dove posizionare lo
script.
Dalla documentazione trovata in giro mi è sembrato di capire che è
consigliabile posizionare lo script in:
etc/network/if-pre-up.d
in modo tale che venga eseguito prima che vada su l'interfaccia da
filtrare.

Esattamente. Questa però è una seconda soluzione che ti permette di
eseguire uno o più script per ogni interfaccia -> soluzione più
flessibile.
Mi spiego... In /etc/network/interfaces puoi specificare lo script che
deve venire
eseguito prima che venga tirata su una specifica interfaccia. In
questo modo, per esempio, puoi impostare in iptables determinate
regole per quando usi la eth0, altre quando usi la eth1. Nota che puoi
anche specificare gli script da eseguire dopo che una interfaccia è
stata tirata giù (questi vanno in
/etc/network/interfaces/if-post-down.d).
Per esempio nel mio /etc/network/interface ho:
...
iface eth0 inet static
address 192.168.10.133
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255
gateway 192.168.10.1
pre-up /etc/network/if-pre-up.d/restore_nameserver.sh
...
in modo che prima di tirare su la eth0 eseguo 'restore_nameserver.sh'.
Nel mio script vado a toccare il file '/etc/resolv.conf', nel tuo
dovrai caricare
le regole di iptables!
In teoria potresti non specificare l'intero path dello script visto
che si trova nella directory predefinita
'/etc/network/if-pre-up.d/'... ma a me, se non lo specifico per
intero, non funzia (anzi qualcuno sa il perchè?).
Oltre all'opzione 'pre-up' ci sono anche 'up', 'post-down' e 'down',
il cui meccanismo
è facilmente intuibile. Comunque trovi tutto spiegato bene in 'man interfaces'.
Paolo
Ciao Paolo,
grazie per la tua risposta mi studio le tue indicazioni e ti faccio sapere,
saluti,
Edo
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

dubbi iptables

2005-01-16 Per discussione negus 
Ciao a tutto il NG,

ho una piccola LAN che va in Internet tramite un Router (Cisco)
utilizzando un IP di tipo statico.

Attualmente sto utilizzando come firewall un PC con la distribuzione
IPcop.

Devo dire che va molto bene ma ora per avere una maggiore
personalizzazione della configurazione Vorrei utilizzare  un firewall
IPTables che giri su Debian.

Prima di scrivere questo post ho avuto modo di fare molte ricerche
sull'argomento sia nei post precedenti sia girando (molto) con Google.

Premetto che tramite il tool rcconf ho settato IPTables in modo da
farlo partire all'avvio della macchina.

Il mio dubbio principale riguarda la directory dove posizionare lo
script.

Dalla documentazione trovata in giro mi è sembrato di capire che è
consigliabile posizionare lo script in:

etc/network/if-pre-up.d 

in modo tale che venga eseguito prima che vada su l'interfaccia da
filtrare.

Le specifiche per l'interfaccia da filtrare vanno indicate nel file:
/etc/network/interface.

E' giusto questo tipo di approccio?

Che cosa va aggiunto al file /etc/network/interface?

Secondo altra documentazione trovata lo script andrebbe invece
posizionato in: /ETC/RC.BOOT

Spero di aver esposto bene la mia situazione e quello che voglio fare,
aspetto qualche vostro consiglio.

Saluti,

Edo


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]