Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione Johan Haggi 
gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto:
 #! /bin/sh
 #Azzera i contatori dei pacchetti
 iptables -Z 
 #Svuota tutte le catene dalle loro regole
 iptables -F 
 #Cancella le catene definite dall' utente
 iptables -X
 #Impostazione delle policy
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP
 #Catena di INPUT
 #Logga i pacchetti droppati
 iptables -A INPUT -j LOG --log-prefix Bloccato 
 [...]
Questa spostala alla fine della catena INPUT; ora l'ordine delle regole
per INPUT sarebbe:

loggare i pacchetti
accettare tutto da loopback
accettare solo established e related da eth0
droppare

se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un
bel DOS da solo :-))

 #Catena di OUTPUT
 #Logga i pacchetti droppati
 iptables -A OUTPUT -j LOG --log-prefix Bloccato 
 [...]
Idem

Un consiglio in generale: usa delle variabili nello script: se in futuro
diventa piu` complesso e cambi IP o interfaccia verso internet e` piu`
facile cambiarlo.

Esempio:
IP_INSICURO_1=192.168.1.10
IF_INSICURA_1=eth0
iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} 
-- 
Ave   Johan Haggi
Se usi microsoft outlook, per favore, non inserire il mio indirizzo nella tua
rubrica: non voglio essere invaso da virus-mail ogni volta che viene scoperta
una delle sue innumerevoli falle. - Autore ignoto - 2003

Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione Johan Haggi 
dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto:
  se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un
  bel DOS da solo :-))
 Nel senso che se si riempie il disco sono cazzi amari?
Esatto

 ...o ci sono altri motivi?
Non che io sappia
-- 
Ave   Johan Haggi
ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita
**NEW** GnuPG key-id: 0x398F1A73 (available on http://keyserver.linux.it)
Fingerprint: 75D4 86D5 B795 BD31 4BD2  2354 9206 CB42 398F 1A73

Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione automatic_jack 
On Sun, 26 Dec 2004 16:10:09 +0100
Johan Haggi [EMAIL PROTECTED] wrote:

 gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto:
  #! /bin/sh
  #Azzera i contatori dei pacchetti
  iptables -Z 
  #Svuota tutte le catene dalle loro regole
  iptables -F 
  #Cancella le catene definite dall' utente
  iptables -X
  #Impostazione delle policy
  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
  #Catena di INPUT
  #Logga i pacchetti droppati
  iptables -A INPUT -j LOG --log-prefix Bloccato 
  [...]
 Questa spostala alla fine della catena INPUT; ora l'ordine delle
regole
 per INPUT sarebbe:
 
 loggare i pacchetti
 accettare tutto da loopback
 accettare solo established e related da eth0
 droppare
 
 se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un
 bel DOS da solo :-))
 
  #Catena di OUTPUT
  #Logga i pacchetti droppati
  iptables -A OUTPUT -j LOG --log-prefix Bloccato 
  [...]
 Idem
 
 Un consiglio in generale: usa delle variabili nello script: se in
futuro
 diventa piu` complesso e cambi IP o interfaccia verso internet e` piu`
 facile cambiarlo.
 
 Esempio:
 IP_INSICURO_1=192.168.1.10
 IF_INSICURA_1=eth0
 iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} 
 -- 
 Ave   Johan Haggi
 Se usi microsoft outlook, per favore, non inserire il mio indirizzo
nella tua
 rubrica: non voglio essere invaso da virus-mail ogni volta che viene
scoperta
 una delle sue innumerevoli falle. - Autore ignoto - 2003
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

Innanzitutto ti ringrazio dell' intervento, in effetti la regola
generale prevede di loggare prima del DROP che, nel mio caso, essendo
la azione di default, viene eseguita per ultima...in merito alla
politica di firewalling che ho seguito hai dei consigli? Ho ricavato le
varie regole bloccando tutto e permettendo solo i servizi di cui man
mano mi accorgevo di aver bisogno...


Seguendo i tuoi suggerimenti lo script è divenuto:

#! /bin/sh

#Definizione delle variabili
ip_nic=192.168.1.10
if_nic=eth0
ip_loopback=127.0.0.1
if_loopback=lo

#Azzera i contatori dei pacchetti
iptables -Z 

#Svuota tutte le catene delle loro regole
iptables -F 

#Cancella le catene definite dall' utente
iptables -X

#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#Catena di INPUT

#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d ${ip_loopback} -i ${if_loopback} -j ACCEPT

#Abilita le connessioni established e related
iptables -A INPUT -d ${ip_nic} -i ${if_nic} -m state --state
ESTABLISHED,RELATED -j ACCEPT

#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix Bloccato 


#Catena di OUTPUT

# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s ${ip_loopback} -o ${if_loopback} -j ACCEPT

#Abilita il dns (gestito tramite bind)
iptables -A OUTPUT -p udp -o ${if_nic} -s ${ip_nic} --sport 53 --dport
53 -j ACCEPT

#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o ${if_nic} -s ${ip_nic} -m multiport
--dports 20,21,25,80,110,119,443 -j ACCEPT

#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix Bloccato 


Buone feste :)

Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione Johan Haggi 
dom 26 dicembre 2004, alle 17:11 (GMT+0100), automatic_jack ha scritto:
 On Sun, 26 Dec 2004 17:00:14 +0100
 Johan Haggi [EMAIL PROTECTED] wrote:
  dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto:
se hai /var/log sulla stessa partizione di / e /tmp ti stai
 facendo un
bel DOS da solo :-))
   Nel senso che se si riempie il disco sono cazzi amari?
  Esatto
 
 Uhm, in effetti logrotate eseguito con cadenza giornaliera dovrebbe
 scongiurare il riempimento del disco...almeno in situazioni di traffico
 normale!
Sicuro?
 ATTENTO sei ROOT! linux:~# uptime 
 18:02:25 up  8:03,  6 users,  load average: 0.02, 0.06, 0.09
 ATTENTO sei ROOT! linux:~# iptables  -v --list
 Chain INPUT (policy DROP 9 packets, 261 bytes)
 55M 2359M ACCEPT all  --  lo any anywhere anywhere
 Chain OUTPUT (policy DROP 29 packets, 841 bytes)
 55M 2359M ACCEPT all  --  anylo anywhere anywhere  
  
In 8 ore di accensione (ed un paio di utilizzo) 110 milioni di pacchetti
solo sulla loopback - 200 byte per ogni riga di log - 20 giga di log.

Anche loggando solo i droppati c'e` qualche rischio: collegando il
portatile ad una rete universitaria in mezz'ora mi sono ritrovato con un
file di log di 500 MB (server/client DHCP, microsoft-ds ecc.)
-- 
Ave   Johan Haggi
ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita
**NEW** GnuPG key-id: 0x398F1A73 (available on http://keyserver.linux.it)
Fingerprint: 75D4 86D5 B795 BD31 4BD2  2354 9206 CB42 398F 1A73

Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione automatic_jack 
On Sun, 26 Dec 2004 18:50:08 +0100
Johan Haggi [EMAIL PROTECTED] wrote:

 dom 26 dicembre 2004, alle 17:11 (GMT+0100), automatic_jack ha
scritto:
  On Sun, 26 Dec 2004 17:00:14 +0100
  Johan Haggi [EMAIL PROTECTED] wrote:
   dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto:
 se hai /var/log sulla stessa partizione di / e /tmp ti stai
  facendo un
 bel DOS da solo :-))
Nel senso che se si riempie il disco sono cazzi amari?
   Esatto
  
  Uhm, in effetti logrotate eseguito con cadenza giornaliera dovrebbe
  scongiurare il riempimento del disco...almeno in situazioni di
traffico
  normale!
 Sicuro?
  ATTENTO sei ROOT! linux:~# uptime 
  18:02:25 up  8:03,  6 users,  load average: 0.02, 0.06, 0.09
  ATTENTO sei ROOT! linux:~# iptables  -v --list
  Chain INPUT (policy DROP 9 packets, 261 bytes)
  55M 2359M ACCEPT all  --  lo any anywhere anywhere   

  Chain OUTPUT (policy DROP 29 packets, 841 bytes)
  55M 2359M ACCEPT all  --  anylo anywhere anywhere
   
 In 8 ore di accensione (ed un paio di utilizzo) 110 milioni di
pacchetti
 solo sulla loopback - 200 byte per ogni riga di log - 20 giga di
log.
 
 Anche loggando solo i droppati c'e` qualche rischio: collegando il
 portatile ad una rete universitaria in mezz'ora mi sono ritrovato con
un
 file di log di 500 MB (server/client DHCP, microsoft-ds ecc.)
 -- 
 Ave   Johan Haggi
 ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita
 **NEW** GnuPG key-id: 0x398F1A73 (available on
http://keyserver.linux.it)
 Fingerprint: 75D4 86D5 B795 BD31 4BD2  2354 9206 CB42 398F 1A73
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

Immaginavo potessero sussistere situazioni del genere con le quali,
come è evidente, non ho mai avuto esperienza e, cautelativamente, avevo
specificato situazioni di traffico normale, ma, il concetto di
normalità è decisamente relativo :)

Ad ogni modo, come ho scritto prima, i log sono serviti
esclusivamente e definire le varie eccezioni alle policy di DROP...in
effetti, proprio grazie alla relativa semplicità dell' uso che faccio
della macchina, posso usare delle restrizioni così marcate

Ciao e grazie :)

Re: [OT] Politiche di firewalling...reprised

2004-12-26 Per discussione automatic_jack 
Ho aggiunto alcune nuove regole per consentire l' utilizzo di aMule
richiestomi dal mio co-utente ;)

nella catena di INPUT le classiche: 

#Abilitano all' uso di aMule
iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j
ACCEPT
iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport
--dports 4665,4672 -j ACCEPT

in quella di OUTPUT, dopo aver spulciato la manpage di iptables:

#Abilita all' uso di aMule
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner
amule -j ACCEPT

che, ritengo una buona soluzione vista la policy DROP su tutta la catena

Ancora una volta Vi chiedo un parere...


Lo script nella sua forma completa è il seguente:

#! /bin/sh

#Definizione delle variabili
IP_NIC=192.168.1.10
IF_NIC=eth0
IP_LOOPBACK=127.0.0.1
IF_LOOPBACK=lo


#Azzera i contatori dei pacchetti
iptables -Z 

#Svuota tutte le catene delle loro regole
iptables -F 

#Cancella le catene definite dall' utente
iptables -X

#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#Catena di INPUT

#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d ${IP_LOOPBACK} -i ${IF_LOOPBACK} -j ACCEPT

#Abilita le connessioni established e related
iptables -A INPUT -d ${IP_NIC} -i ${IF_NIC}  -m state --state
ESTABLISHED,RELATED -j ACCEPT

#Abilitano all' uso di aMule
iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j
ACCEPT
iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport
--dports 4665,4672 -j ACCEPT

#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix Bloccato 


#Catena di OUTPUT

# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s ${IP_LOOPBACK} -o ${IF_LOOPBACK} -j ACCEPT

#Abilita il dns
iptables -A OUTPUT -p udp -s ${IP_NIC} -o ${IF_NIC} --sport 53 --dport
53 -j ACCEPT

#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m multiport
--dports 20,21,25,80,110,119,443 -j ACCEPT

#Abilita all' uso di aMule
iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner
amule -j ACCEPT

#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix Bloccato 


Mi scuso ancora del disturbo e dell' impaginazione

Grazie :)

Re: [OT] Politiche di firewalling...reprised

2004-12-23 Per discussione automatic_jack 
On Thu, 23 Dec 2004 00:30:18 +0100
automatic_jack [EMAIL PROTECTED] wrote:

 On Wed, 22 Dec 2004 19:10:23 +0100
 automatic_jack [EMAIL PROTECTED] wrote:
 
  Ciao,
  
  Vi ripropongo in maniera un po' differente una vecchia curiosità...
  
  Ha senso impostare per iptables la policy DROP per la catena di
INPUT
  (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
  quella OUTPUT, permettendo in quest' ultima che passi solo il
traffico
  desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
  
  La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che
mi
  garantisce già una buona protezione in INPUT (supero brillantemente
i
  vari test on line) e per il quale ho disabilitato la gestione da
  Internet
  
  Vi sono soluzioni migliori?
  
  
  Grazie :)
 
 L' idea è di far qualcosa di simile a quanto riportato di
seguito...per
 ora l' ho messo su e non ho riscontrato alcun problema nell' uso
 normale, ma ogni suggerimento è davvero ben accetto :)
 
 Mi scuso sin d' ora per i contenuti e l' impaginazione :(
 
 
 #! /bin/sh
 
 #Azzera i contatori dei pacchetti
 iptables -Z 
 
 #Svuota tutte le catene dalle loro regole
 iptables -F 
 
 #Cancella le catene definite dall' utente
 iptables -X
 
 #Impostazione delle policy
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP
 
 
 #Catena di INPUT
 
 #Logga i pacchetti droppati
 iptables -A INPUT -j LOG --log-prefix Bloccato 
 
 #Abilita l' interfaccia di loopback in input
 iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
 
 #Abilita le connessioni established e related
 iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
 ESTABLISHED,RELATED -j ACCEPT
 
 
 #Catena di OUTPUT
 
 #Logga i pacchetti droppati
 iptables -A OUTPUT -j LOG --log-prefix Bloccato 
 
 # Abilita l' interfaccia di loopback in output
 iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
 
 #Abilita il dns
 iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport
53
 -j ACCEPT
 
 #Abilita ftp, smtp, www, pop3, nntp, https
 iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport
--dports
 21,25,80,110,119,443 -j ACCEPT

Come suggeritomi, ho cambiato l' ultima regola con:

#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
20,21,25,80,110,119,443 -j ACCEPT

per abilitare l' ftp in modalità passiva

Ciao e grazie :)

Re: [OT] Politiche di firewalling...reprised

2004-12-22 Per discussione automatic_jack 
On Wed, 22 Dec 2004 19:10:23 +0100
automatic_jack [EMAIL PROTECTED] wrote:

 Ciao,
 
 Vi ripropongo in maniera un po' differente una vecchia curiosità...
 
 Ha senso impostare per iptables la policy DROP per la catena di INPUT
 (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per
 quella OUTPUT, permettendo in quest' ultima che passi solo il traffico
 desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)?
 
 La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi
 garantisce già una buona protezione in INPUT (supero brillantemente i
 vari test on line) e per il quale ho disabilitato la gestione da
 Internet
 
 Vi sono soluzioni migliori?
 
 
 Grazie :)

L' idea è di far qualcosa di simile a quanto riportato di seguito...per
ora l' ho messo su e non ho riscontrato alcun problema nell' uso
normale, ma ogni suggerimento è davvero ben accetto :)

Mi scuso sin d' ora per i contenuti e l' impaginazione :(


#! /bin/sh

#Azzera i contatori dei pacchetti
iptables -Z 

#Svuota tutte le catene dalle loro regole
iptables -F 

#Cancella le catene definite dall' utente
iptables -X

#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#Catena di INPUT

#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix Bloccato 

#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT

#Abilita le connessioni established e related
iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state
ESTABLISHED,RELATED -j ACCEPT


#Catena di OUTPUT

#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix Bloccato 

# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT

#Abilita il dns
iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53
-j ACCEPT

#Abilita ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports
21,25,80,110,119,443 -j ACCEPT