Re: [OT] Politiche di firewalling...reprised
gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto: #! /bin/sh #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene dalle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato [...] Questa spostala alla fine della catena INPUT; ora l'ordine delle regole per INPUT sarebbe: loggare i pacchetti accettare tutto da loopback accettare solo established e related da eth0 droppare se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) #Catena di OUTPUT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato [...] Idem Un consiglio in generale: usa delle variabili nello script: se in futuro diventa piu` complesso e cambi IP o interfaccia verso internet e` piu` facile cambiarlo. Esempio: IP_INSICURO_1=192.168.1.10 IF_INSICURA_1=eth0 iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} -- Ave Johan Haggi Se usi microsoft outlook, per favore, non inserire il mio indirizzo nella tua rubrica: non voglio essere invaso da virus-mail ogni volta che viene scoperta una delle sue innumerevoli falle. - Autore ignoto - 2003
Re: [OT] Politiche di firewalling...reprised
dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto: se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) Nel senso che se si riempie il disco sono cazzi amari? Esatto ...o ci sono altri motivi? Non che io sappia -- Ave Johan Haggi ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita **NEW** GnuPG key-id: 0x398F1A73 (available on http://keyserver.linux.it) Fingerprint: 75D4 86D5 B795 BD31 4BD2 2354 9206 CB42 398F 1A73
Re: [OT] Politiche di firewalling...reprised
On Sun, 26 Dec 2004 16:10:09 +0100 Johan Haggi [EMAIL PROTECTED] wrote: gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto: #! /bin/sh #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene dalle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato [...] Questa spostala alla fine della catena INPUT; ora l'ordine delle regole per INPUT sarebbe: loggare i pacchetti accettare tutto da loopback accettare solo established e related da eth0 droppare se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) #Catena di OUTPUT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato [...] Idem Un consiglio in generale: usa delle variabili nello script: se in futuro diventa piu` complesso e cambi IP o interfaccia verso internet e` piu` facile cambiarlo. Esempio: IP_INSICURO_1=192.168.1.10 IF_INSICURA_1=eth0 iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} -- Ave Johan Haggi Se usi microsoft outlook, per favore, non inserire il mio indirizzo nella tua rubrica: non voglio essere invaso da virus-mail ogni volta che viene scoperta una delle sue innumerevoli falle. - Autore ignoto - 2003 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Innanzitutto ti ringrazio dell' intervento, in effetti la regola generale prevede di loggare prima del DROP che, nel mio caso, essendo la azione di default, viene eseguita per ultima...in merito alla politica di firewalling che ho seguito hai dei consigli? Ho ricavato le varie regole bloccando tutto e permettendo solo i servizi di cui man mano mi accorgevo di aver bisogno... Seguendo i tuoi suggerimenti lo script è divenuto: #! /bin/sh #Definizione delle variabili ip_nic=192.168.1.10 if_nic=eth0 ip_loopback=127.0.0.1 if_loopback=lo #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene delle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Abilita l' interfaccia di loopback in input iptables -A INPUT -d ${ip_loopback} -i ${if_loopback} -j ACCEPT #Abilita le connessioni established e related iptables -A INPUT -d ${ip_nic} -i ${if_nic} -m state --state ESTABLISHED,RELATED -j ACCEPT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato #Catena di OUTPUT # Abilita l' interfaccia di loopback in output iptables -A OUTPUT -s ${ip_loopback} -o ${if_loopback} -j ACCEPT #Abilita il dns (gestito tramite bind) iptables -A OUTPUT -p udp -o ${if_nic} -s ${ip_nic} --sport 53 --dport 53 -j ACCEPT #Abilita ftp-data,ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o ${if_nic} -s ${ip_nic} -m multiport --dports 20,21,25,80,110,119,443 -j ACCEPT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato Buone feste :)
Re: [OT] Politiche di firewalling...reprised
dom 26 dicembre 2004, alle 17:11 (GMT+0100), automatic_jack ha scritto: On Sun, 26 Dec 2004 17:00:14 +0100 Johan Haggi [EMAIL PROTECTED] wrote: dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto: se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) Nel senso che se si riempie il disco sono cazzi amari? Esatto Uhm, in effetti logrotate eseguito con cadenza giornaliera dovrebbe scongiurare il riempimento del disco...almeno in situazioni di traffico normale! Sicuro? ATTENTO sei ROOT! linux:~# uptime 18:02:25 up 8:03, 6 users, load average: 0.02, 0.06, 0.09 ATTENTO sei ROOT! linux:~# iptables -v --list Chain INPUT (policy DROP 9 packets, 261 bytes) 55M 2359M ACCEPT all -- lo any anywhere anywhere Chain OUTPUT (policy DROP 29 packets, 841 bytes) 55M 2359M ACCEPT all -- anylo anywhere anywhere In 8 ore di accensione (ed un paio di utilizzo) 110 milioni di pacchetti solo sulla loopback - 200 byte per ogni riga di log - 20 giga di log. Anche loggando solo i droppati c'e` qualche rischio: collegando il portatile ad una rete universitaria in mezz'ora mi sono ritrovato con un file di log di 500 MB (server/client DHCP, microsoft-ds ecc.) -- Ave Johan Haggi ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita **NEW** GnuPG key-id: 0x398F1A73 (available on http://keyserver.linux.it) Fingerprint: 75D4 86D5 B795 BD31 4BD2 2354 9206 CB42 398F 1A73
Re: [OT] Politiche di firewalling...reprised
On Sun, 26 Dec 2004 18:50:08 +0100 Johan Haggi [EMAIL PROTECTED] wrote: dom 26 dicembre 2004, alle 17:11 (GMT+0100), automatic_jack ha scritto: On Sun, 26 Dec 2004 17:00:14 +0100 Johan Haggi [EMAIL PROTECTED] wrote: dom 26 dicembre 2004, alle 16:29 (GMT+0100), paolo ha scritto: se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un bel DOS da solo :-)) Nel senso che se si riempie il disco sono cazzi amari? Esatto Uhm, in effetti logrotate eseguito con cadenza giornaliera dovrebbe scongiurare il riempimento del disco...almeno in situazioni di traffico normale! Sicuro? ATTENTO sei ROOT! linux:~# uptime 18:02:25 up 8:03, 6 users, load average: 0.02, 0.06, 0.09 ATTENTO sei ROOT! linux:~# iptables -v --list Chain INPUT (policy DROP 9 packets, 261 bytes) 55M 2359M ACCEPT all -- lo any anywhere anywhere Chain OUTPUT (policy DROP 29 packets, 841 bytes) 55M 2359M ACCEPT all -- anylo anywhere anywhere In 8 ore di accensione (ed un paio di utilizzo) 110 milioni di pacchetti solo sulla loopback - 200 byte per ogni riga di log - 20 giga di log. Anche loggando solo i droppati c'e` qualche rischio: collegando il portatile ad una rete universitaria in mezz'ora mi sono ritrovato con un file di log di 500 MB (server/client DHCP, microsoft-ds ecc.) -- Ave Johan Haggi ante diem septimum Kalendas Ianuarias MMDCCLVIII ab Urbe condita **NEW** GnuPG key-id: 0x398F1A73 (available on http://keyserver.linux.it) Fingerprint: 75D4 86D5 B795 BD31 4BD2 2354 9206 CB42 398F 1A73 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Immaginavo potessero sussistere situazioni del genere con le quali, come è evidente, non ho mai avuto esperienza e, cautelativamente, avevo specificato situazioni di traffico normale, ma, il concetto di normalità è decisamente relativo :) Ad ogni modo, come ho scritto prima, i log sono serviti esclusivamente e definire le varie eccezioni alle policy di DROP...in effetti, proprio grazie alla relativa semplicità dell' uso che faccio della macchina, posso usare delle restrizioni così marcate Ciao e grazie :)
Re: [OT] Politiche di firewalling...reprised
Ho aggiunto alcune nuove regole per consentire l' utilizzo di aMule richiestomi dal mio co-utente ;) nella catena di INPUT le classiche: #Abilitano all' uso di aMule iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j ACCEPT iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport --dports 4665,4672 -j ACCEPT in quella di OUTPUT, dopo aver spulciato la manpage di iptables: #Abilita all' uso di aMule iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner amule -j ACCEPT che, ritengo una buona soluzione vista la policy DROP su tutta la catena Ancora una volta Vi chiedo un parere... Lo script nella sua forma completa è il seguente: #! /bin/sh #Definizione delle variabili IP_NIC=192.168.1.10 IF_NIC=eth0 IP_LOOPBACK=127.0.0.1 IF_LOOPBACK=lo #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene delle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Abilita l' interfaccia di loopback in input iptables -A INPUT -d ${IP_LOOPBACK} -i ${IF_LOOPBACK} -j ACCEPT #Abilita le connessioni established e related iptables -A INPUT -d ${IP_NIC} -i ${IF_NIC} -m state --state ESTABLISHED,RELATED -j ACCEPT #Abilitano all' uso di aMule iptables -A INPUT -p tcp -d ${IP_NIC} -i ${IF_NIC} --dport 4662 -j ACCEPT iptables -A INPUT -p udp -d ${IP_NIC} -i ${IF_NIC} -m multiport --dports 4665,4672 -j ACCEPT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato #Catena di OUTPUT # Abilita l' interfaccia di loopback in output iptables -A OUTPUT -s ${IP_LOOPBACK} -o ${IF_LOOPBACK} -j ACCEPT #Abilita il dns iptables -A OUTPUT -p udp -s ${IP_NIC} -o ${IF_NIC} --sport 53 --dport 53 -j ACCEPT #Abilita ftp-data,ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m multiport --dports 20,21,25,80,110,119,443 -j ACCEPT #Abilita all' uso di aMule iptables -A OUTPUT -p tcp -s ${IP_NIC} -o ${IF_NIC} -m owner --cmd-owner amule -j ACCEPT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato Mi scuso ancora del disturbo e dell' impaginazione Grazie :)
Re: [OT] Politiche di firewalling...reprised
On Thu, 23 Dec 2004 00:30:18 +0100 automatic_jack [EMAIL PROTECTED] wrote: On Wed, 22 Dec 2004 19:10:23 +0100 automatic_jack [EMAIL PROTECTED] wrote: Ciao, Vi ripropongo in maniera un po' differente una vecchia curiosità... Ha senso impostare per iptables la policy DROP per la catena di INPUT (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per quella OUTPUT, permettendo in quest' ultima che passi solo il traffico desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)? La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi garantisce già una buona protezione in INPUT (supero brillantemente i vari test on line) e per il quale ho disabilitato la gestione da Internet Vi sono soluzioni migliori? Grazie :) L' idea è di far qualcosa di simile a quanto riportato di seguito...per ora l' ho messo su e non ho riscontrato alcun problema nell' uso normale, ma ogni suggerimento è davvero ben accetto :) Mi scuso sin d' ora per i contenuti e l' impaginazione :( #! /bin/sh #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene dalle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato #Abilita l' interfaccia di loopback in input iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT #Abilita le connessioni established e related iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Catena di OUTPUT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato # Abilita l' interfaccia di loopback in output iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT #Abilita il dns iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53 -j ACCEPT #Abilita ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports 21,25,80,110,119,443 -j ACCEPT Come suggeritomi, ho cambiato l' ultima regola con: #Abilita ftp-data,ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports 20,21,25,80,110,119,443 -j ACCEPT per abilitare l' ftp in modalità passiva Ciao e grazie :)
Re: [OT] Politiche di firewalling...reprised
On Wed, 22 Dec 2004 19:10:23 +0100 automatic_jack [EMAIL PROTECTED] wrote: Ciao, Vi ripropongo in maniera un po' differente una vecchia curiosità... Ha senso impostare per iptables la policy DROP per la catena di INPUT (fatta eccezione per le connessioni ESTABILISCHED e RELATED) e per quella OUTPUT, permettendo in quest' ultima che passi solo il traffico desiderato (www, domain, pop3, nntp, ftp, smtp, https, ecc.)? La mia unica macchina è nattata dal router (DrayTek Vigor 2600) che mi garantisce già una buona protezione in INPUT (supero brillantemente i vari test on line) e per il quale ho disabilitato la gestione da Internet Vi sono soluzioni migliori? Grazie :) L' idea è di far qualcosa di simile a quanto riportato di seguito...per ora l' ho messo su e non ho riscontrato alcun problema nell' uso normale, ma ogni suggerimento è davvero ben accetto :) Mi scuso sin d' ora per i contenuti e l' impaginazione :( #! /bin/sh #Azzera i contatori dei pacchetti iptables -Z #Svuota tutte le catene dalle loro regole iptables -F #Cancella le catene definite dall' utente iptables -X #Impostazione delle policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Catena di INPUT #Logga i pacchetti droppati iptables -A INPUT -j LOG --log-prefix Bloccato #Abilita l' interfaccia di loopback in input iptables -A INPUT -d 127.0.0.1 -i lo -j ACCEPT #Abilita le connessioni established e related iptables -A INPUT -d 192.168.1.10 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Catena di OUTPUT #Logga i pacchetti droppati iptables -A OUTPUT -j LOG --log-prefix Bloccato # Abilita l' interfaccia di loopback in output iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT #Abilita il dns iptables -A OUTPUT -p udp -o eth0 -s 192.168.1.10 --sport 53 --dport 53 -j ACCEPT #Abilita ftp, smtp, www, pop3, nntp, https iptables -A OUTPUT -p tcp -o eth0 -s 192.168.1.10 -m multiport --dports 21,25,80,110,119,443 -j ACCEPT