Re: dubbi iptables
Ciao Paolo, Allora... lavora da root!!! lavoro sempre da root in quanto non ho altri utenti configurati Fatti un link di /etc/init.d/iptables in /etc/rc.boot/ (o come cavolo si chiama in Woddy) eseguendo: #ln -s /etc/init.d/iptables /etc/rc.boot/S40iptables fatto Riavvia la macchina, sempre da root esegui "iptables -L -v" e postane in lista l'output. Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD(policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
negus ha scritto: Ciao paziente amico di sventura, output del comando iptables-save: Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] COMMIT #Completed on Sun Jan 30 23:08:00 2005 Bene, allora questa volta esegui "iptables-save > /etc/iptables.rules" e guarda se quel benedetto file ti è stato creato! ho eseguito tutto come da tue indicazioni, non ricevo nessun messaggio di errore, le regole si attivano nel senso che mi viene negato qualsiasi tentativo di accesso alla Linux Box, ma niente il benedetto file non si crea. Saluti, Edo Ciao Paolo, appena arrivato a casa come sempre come prima cosa ho acceso il computer e con immenso piacere ho verificato la presenza del file /etc/iptables.rules, era ora. Il mio post precedente era stato inviato senza verificare la presenza del file dopo un riavvio, mea culpa. Credo che ora siamo sulla buona strada. Aspetto con ansia tue notizie, grazie per la tua pazienza, Edo
Re: dubbi iptables
Ciao paziente amico di sventura, output del comando iptables-save: Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] COMMIT #Completed on Sun Jan 30 23:08:00 2005 Bene, allora questa volta esegui "iptables-save > /etc/iptables.rules" e guarda se quel benedetto file ti è stato creato! ho eseguito tutto come da tue indicazioni, non ricevo nessun messaggio di errore, le regole si attivano nel senso che mi viene negato qualsiasi tentativo di accesso alla Linux Box, ma niente il benedetto file non si crea. Saluti, Edo
Re: dubbi iptables
Ciao a Paolo ed a tutto il NG, Allora facciamo così: dopo aver setato le solite tre policy di DROP per le tre catene esegui (sempre come root) in console "iptables-save" e dimmi l'output che ti viene a video. output del comando iptables-save: Generated by iptables-save v1.2.6a on Sun Jan 30 23:08:00 2005 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] COMMIT #Completed on Sun Jan 30 23:08:00 2005 Saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
Ciao a Paolo ed a tutto il NG, Allora prossimo passo è dirmi se hai iptables-restore e iptables-restore. Se li hai, dopo aver dato le tre regole per settare le policy delle tre catene, esegui nuovamemte un "/etc/init.d/iptables save" in una shell, posta in lista l'output ho impostato le regole a DROP per le tre catene e ho dato il comando: /etc/init.d/iptables save, ottenendo questo output: Saving iptables rulset: save "" with counters/etc/init.d/iptables: /var/lib/iptables/: Is a directory dopo di che ho dato il comando /etc/init.d/iptables restore ottenendo questo output: /etc/init.d/iptables options: start| restart | reload| force-reload load the "active" rulset save save the current rulset load load a rulset stop load the "inactive" rulset clear remove all rules and user-defined chains, set default policy to ACCEPT halt remove all rules and user-defined chains, set default policy to DROP Saved rulesets: Please read: /etc/default/iptables Il file /etc/iptables.rules non è stato creato Saluti, Edo
Re: dubbi iptables
Caio a Paolo ed a tutto il NG, Allora fai cosi: -esegui 'iptables -P INPUT DROP' -esegui 'iptables -P FORWARD DROP' -esegui 'iptables -P OUTPUT DROP' fatto! -posta in lista l'output di 'iptables -L -v' Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot in out source destination (stessa cosa le due altre catene)prima dei tre comandi le catene sono impostate su ACCEPT. Mettendo tutto su DROP effettivamente mi viene bloccato tutto, quindi deduco che iptables funzioni!!! -dimmi se hai i comandi iptables-restore e iptables-save come faccio a verificarlo? PS: ha compilato nel kernel il packet filtering? ... spero di si! no non ho cmpilato il kernel, uso il bf24 senza modifiche dell'installazione ti sarei grato se potessi darmi qualche indicazione o magari inviarmi il tuo .config(so come si compila il kernel l'ho fatto diverse volte ma ancora non ho molta dimistichezza con le varie impostazioni. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
Ciao a Paolo e a tutto il NG esegui 'iptables -F'. Se c'è dell'output postalo in lista output= ip_tables: (C) 2000-2002 Netfilter core team altrimenti esegui 'iptables -P INPUT DROP' esegui 'iptables -P FORWARD DROP' esegui iptables -P OUTPUT DROP' Se uno dei tre comandi precedenti ha buttato fuori dell'output postalo in lista; nessun output altrimenti esegui /etc/init.d/iptables save se c'è dell'output postalo e output: Saving iptables rulset: save "" with counters/etc/init.d/iptables: /var/lib/iptables/: Is a directory fammi sapere se ti è stato creato il file /etc/iptables.rules no non è stato creato *spero che quanto detto sopra sia chiaro in caso chiedi* tutto molto chiaro, grazie! A proposito del fatto che hai Woody: a meno che non lo utilizzi esclusivamente come server ti consiglio di fare un "dist upgrade" a Sarge che come Desktop è molto ma molto meglio (inoltre ti rendi la vita 1000 volte più facile). ho installato la Sarge ed anche con essa ho provato a modificare il file /etc/network/interface secondo le indicazioni dei tuoi post precedenti, ovvero aggiungendo all'ultima riga: pre-up /etc/network/if-pre-up.d/fir.sh; si è verificato lo stesso problema, ovvero al riavvio la eth0 perde l'indirizzo; ho effettuato molte prove ed ho verificato che la stringa pre-up è la causa del problema. Se la ometto la eth0 mantiene l'indirizzo, anche se poi il firewall comunque non funziona. Secondo te come mai si verifica questo inconveniente? Comunque ho reinstallato la Woody ed è con quella che ho effettuato le prove. Saluti e ancora grazie, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
Ciao a Paolo ed a tutto il NG Hai messo in cima al file un bel "auto eth0" per dire che ti tiri su lui in automatico l'interfaccia? auto eth0 è presente in /etc/network/interfaces ma non c'è nello script mmh... mi sa che lo script non viene eseguito! Vedo che tu hai postato "pre-up/etc/network/if-pre-up.d/fir.sh" invece è "pre-up /etc/network/if-pre-up.d/fir.sh" (manca uno spazio!). nello script lo spazio c'è, è stato un errore di battitura! Se hai voglia facciamo cosi, una soluzione passo-passo certo che ne ho voglia e grazie per la disponibilità! - ripulisci dalle tue modifiche fatte finora ho formattato, ho un sistema pulito con sopra installato soltanto mc, kernel bf24 standard - posta in lista l'intero contenuto di /etc/network/interfaces auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.2.150 netmask 255.255.255.0 network 192.168.2.0 broadcast 192.168.2.255 gateway 192.168.2.250 pre-up /etc/network/if-pre-up.d/fir.sh (ho omesso soltanto le righe di commento) - prendi lo script che ti ho passato è copialo in /etc/init.d/ ... per cominciare. fatto Paolo PS: tu non hai la cartella /etc/rcS.d? hai la /etc/rc.boot? penso che allora tu non abbia Sid ma Sarge... uso la Woody 3.0r4 Spero di riuscire con il tuo aiuto a vedere finalmente funzionare iptables, Saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
Ciao a Paolo e a tutto il NG, sono ancora alle prese con la configurazione di iptables, spero di riuscire ad esporre bene i miei problemi. Utilizzo una Woody 3.0r4 con il kernel bf24 dell'installazione standard. paolo ha scritto: Per esempio nel mio /etc/network/interface ho: ... iface eth0 inet static address 192.168.2.150 netmask 255.255.255.0 network 192.168.2.0 broadcast 192.168.2.255 gateway 192.168.2.250 pre-up /etc/network/if-pre-up.d/restore_nameserver.sh Ho seguito il consiglio di Paolo ed ho inserito in /etc/network/interfaces alla fine di eth0 la stringa: pre-up/etc/network/if-pre-up.d/fir.sh in quanto ho posizionato lo script in if-pre-up.d fir.sh è lo script che utilizzo per il firewall: #!/bin/sh iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP Lo script (che ha i permessi di esecuzione) è volutamente semplice e mi serve per iniziare a fare pratica. Il problema che si presenta è questo: al riavvio la eth0 perde l'indirizzo. L'imputazione del comando ifconfig mi mostra la sola interfaccia di loopback. Ho provato a riassegnare all'interfaccia l'indirizzo, ma le regole non funzionano, nel senso che invece di negarmi tutto riesco per esempio a connettermi in SSH. Ho provato anche ad inserire lo script in :/etc/rc.boot, ed anche in : /etc/init.d (per farlo partire all'avvio tramite rcconf) ma niente non funziona. Ho spulciato molta documentazione in rete nonchè tantissimi messaggi di questo ed altri NG ma niente non riesco a venire a capo della situazione. Un grazie anticipato a tutti, saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
paolo ha scritto: On 16 Jan 2005 21:55:49 -0800, negus <[EMAIL PROTECTED]> wrote: Premetto che tramite il tool rcconf ho settato IPTables in modo da farlo partire all'avvio della macchina. Strano, io inizialmente non avevo nessuno script in /etc/init.d, ho dovuto farmelo e ho messo un suo link in /etc/rcS.d cosi che venisse lanciato ad ogni avvio. Ti sto parlando del mio laptop con cui utilizzo sia la adsl a casa (eth0) sia la wlan all'università (eth1): lo svantaggio di questa soluzione è che ogni volta tiro su tutte le regole di filtering sia per la eth0 che per la eth1 visto che non so a priori che interfaccia andrò a utilizzare. Il mio dubbio principale riguarda la directory dove posizionare lo script. Dalla documentazione trovata in giro mi è sembrato di capire che è consigliabile posizionare lo script in: etc/network/if-pre-up.d in modo tale che venga eseguito prima che vada su l'interfaccia da filtrare. Esattamente. Questa però è una seconda soluzione che ti permette di eseguire uno o più script per ogni interfaccia -> soluzione più flessibile. Mi spiego... In /etc/network/interfaces puoi specificare lo script che deve venire eseguito prima che venga tirata su una specifica interfaccia. In questo modo, per esempio, puoi impostare in iptables determinate regole per quando usi la eth0, altre quando usi la eth1. Nota che puoi anche specificare gli script da eseguire dopo che una interfaccia è stata tirata giù (questi vanno in /etc/network/interfaces/if-post-down.d). Per esempio nel mio /etc/network/interface ho: ... iface eth0 inet static address 192.168.10.133 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.1 pre-up /etc/network/if-pre-up.d/restore_nameserver.sh ... in modo che prima di tirare su la eth0 eseguo 'restore_nameserver.sh'. Nel mio script vado a toccare il file '/etc/resolv.conf', nel tuo dovrai caricare le regole di iptables! In teoria potresti non specificare l'intero path dello script visto che si trova nella directory predefinita '/etc/network/if-pre-up.d/'... ma a me, se non lo specifico per intero, non funzia (anzi qualcuno sa il perchè?). Oltre all'opzione 'pre-up' ci sono anche 'up', 'post-down' e 'down', il cui meccanismo è facilmente intuibile. Comunque trovi tutto spiegato bene in 'man interfaces'. Paolo Ciao Paolo, ti volevo chiedere la cortesia di inviarmi lo script che utilizzi sul tuo portatile per effettuare delle prove nella mia rete, ne ho trovati altri in rete ma sono un pò troppo complessi. La richiesta è indirizzata anche a tutto il NG, l'ideale sarebbe uno script che qualcuno di voi utilizza correntemente e che quindi possa fornirmi idicazioni precise sul funzionamento. Mi interessa avere uno script funzionante ma soprattutto capirne la logica; un grazie anticipato a tutti. Saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: dubbi iptables
paolo ha scritto: On 16 Jan 2005 21:55:49 -0800, negus <[EMAIL PROTECTED]> wrote: Premetto che tramite il tool rcconf ho settato IPTables in modo da farlo partire all'avvio della macchina. Strano, io inizialmente non avevo nessuno script in /etc/init.d, ho dovuto farmelo e ho messo un suo link in /etc/rcS.d cosi che venisse lanciato ad ogni avvio. Ti sto parlando del mio laptop con cui utilizzo sia la adsl a casa (eth0) sia la wlan all'università (eth1): lo svantaggio di questa soluzione è che ogni volta tiro su tutte le regole di filtering sia per la eth0 che per la eth1 visto che non so a priori che interfaccia andrò a utilizzare. Il mio dubbio principale riguarda la directory dove posizionare lo script. Dalla documentazione trovata in giro mi è sembrato di capire che è consigliabile posizionare lo script in: etc/network/if-pre-up.d in modo tale che venga eseguito prima che vada su l'interfaccia da filtrare. Esattamente. Questa però è una seconda soluzione che ti permette di eseguire uno o più script per ogni interfaccia -> soluzione più flessibile. Mi spiego... In /etc/network/interfaces puoi specificare lo script che deve venire eseguito prima che venga tirata su una specifica interfaccia. In questo modo, per esempio, puoi impostare in iptables determinate regole per quando usi la eth0, altre quando usi la eth1. Nota che puoi anche specificare gli script da eseguire dopo che una interfaccia è stata tirata giù (questi vanno in /etc/network/interfaces/if-post-down.d). Per esempio nel mio /etc/network/interface ho: ... iface eth0 inet static address 192.168.10.133 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.1 pre-up /etc/network/if-pre-up.d/restore_nameserver.sh ... in modo che prima di tirare su la eth0 eseguo 'restore_nameserver.sh'. Nel mio script vado a toccare il file '/etc/resolv.conf', nel tuo dovrai caricare le regole di iptables! In teoria potresti non specificare l'intero path dello script visto che si trova nella directory predefinita '/etc/network/if-pre-up.d/'... ma a me, se non lo specifico per intero, non funzia (anzi qualcuno sa il perchè?). Oltre all'opzione 'pre-up' ci sono anche 'up', 'post-down' e 'down', il cui meccanismo è facilmente intuibile. Comunque trovi tutto spiegato bene in 'man interfaces'. Paolo Ciao Paolo, grazie per la tua risposta mi studio le tue indicazioni e ti faccio sapere, saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
dubbi iptables
Ciao a tutto il NG, ho una piccola LAN che va in Internet tramite un Router (Cisco) utilizzando un IP di tipo statico. Attualmente sto utilizzando come firewall un PC con la distribuzione IPcop. Devo dire che va molto bene ma ora per avere una maggiore personalizzazione della configurazione Vorrei utilizzare un firewall IPTables che giri su Debian. Prima di scrivere questo post ho avuto modo di fare molte ricerche sull'argomento sia nei post precedenti sia girando (molto) con Google. Premetto che tramite il tool rcconf ho settato IPTables in modo da farlo partire all'avvio della macchina. Il mio dubbio principale riguarda la directory dove posizionare lo script. Dalla documentazione trovata in giro mi è sembrato di capire che è consigliabile posizionare lo script in: etc/network/if-pre-up.d in modo tale che venga eseguito prima che vada su l'interfaccia da filtrare. Le specifiche per l'interfaccia da filtrare vanno indicate nel file: /etc/network/interface. E' giusto questo tipo di approccio? Che cosa va aggiunto al file /etc/network/interface? Secondo altra documentazione trovata lo script andrebbe invece posizionato in: /ETC/RC.BOOT Spero di aver esposto bene la mia situazione e quello che voglio fare, aspetto qualche vostro consiglio. Saluti, Edo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]