Iptables

8 risposte [Ultimo contenuto]
Ritratto di campo
campo
(Junior)
Offline
Junior
Iscritto: 14/02/2005
Messaggi: 22

Salve belli Laughing
ho un problemozzo con iptables. Infatti non mi permette + di
utilizzare apt-get install (ho droppato tutto in INPUT). Come regola gli ho dato :
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
ma non mi parte cmq. Allora con netstat ho visto che quando ho come policy in INPUT ACCEPT ho due connessioni (riporto il netstat -n):
tcp 0 0 192.168.1.2:34144 213.156.32.111:49952 ESTABLISHED
tcp 0 0 192.168.1.2:34143 213.156.32.111:21 ESTABLISHED

Come avrete notato mi si apre una connessione alla porta 34144 che è = a 31443 + 1. Questa porta è casuale ed ha un range di ip bello grosso credo che l'unica soluzione sia uno script ma non sò dove mettere le mani!!!! :-o
plz aiutatemi

GRAZIE DELLA MANO (spero....) Laughing

(P.s. vorrei poterlo configurare manualmente senza usare dei programmi tipo firestarter o giù di lì)

SIIII IL TUO MIRACOLO!!!!!!!!!(sopratutto con linux) Laughing :-P

Ritratto di campo
campo
(Junior)
Offline
Junior
Iscritto: 14/02/2005
Messaggi: 22

Salve devo rettificare una cosa
Non è vero che se sono connesso alla 21 con una porta N devo tenere l aporta N+1 aperta la cosa è puramente casuale. Con questa rivelazione non sò + cosa fare!!!!
Se qualcuno ha idee sono Bene accette

SIIII IL TUO MIRACOLO!!!!!!!!!(sopratutto con linux) Laughing :-P

Ritratto di gad79
gad79
(Geek)
Offline
Geek
Iscritto: 25/12/2004
Messaggi: 103

Scusami , ma non ho propio capito il tuo problema. Scrivi in un modo un pò confuso. Cmq sè ( e dico sè ) il tuo problema è che da quando hai aggiunto alla catena INPUT quella regola non ti funziona più apt-get , l'unica cosa da fare è cancellare quella regola dalla sudetta catena:

iptables -L INPUT #elenco regole catena INPUT

iptables -F INPUT #cancelli tutte le regole della catena

è poi ricominci da cappo. Scusami di averti risposto in modo così sufficente, ma se ti spiegi meglio vedrò di risponderti in modo migliore .

Ciao

Ritratto di campo
campo
(Junior)
Offline
Junior
Iscritto: 14/02/2005
Messaggi: 22

Scusa ora mi spiego meglio:

1)Ho iptables che mi droppa tutto il traffico entrante

2)apt-get usa la porta 21 del server da cui scarichi quindi come prima regola ho

iptables -A INPUT -p tcp --sport 21 -j ACCEPT

3)apt-get per poter scaricare usa due connessioni (perche non lo sò). Esempio di scaricamento dei pacchetti:

connessione 1 tcp 0 0 192.168.1.2:34143 213.156.32.111:21 ESTABLISHED
connessione 2 tcp 0 0 192.168.1.2:34144 213.156.32.111:49952 ESTABLISHED

Dove la prima connessione col firewall attivato avviene (vedi regola) mentre l aseconda non sò proprio ch epesci prendere perché le 2 porte di comunicazioni sono casuali.

Spero di essere stato chiaro. Allego pure lo script del firewall +/- commentato. Ogni modifica è gradita

P.s. Non sono un esperto quindi può essere pure che ho scritto delle cose inutili se è così fatemelo presente

SIIII IL TUO MIRACOLO!!!!!!!!!(sopratutto con linux) Laughing :-P

Ritratto di campo
campo
(Junior)
Offline
Junior
Iscritto: 14/02/2005
Messaggi: 22

#Questo è per flushare (cancellare) tutte le regole fatte prima e per cambiare la policy
iptables -F INPUT
iptables -P INPUT ACCEPT

#allora questo è per il loopback o qualcosa del genere ghghghg
iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

#questo è per comunicare con la mia scheda di rete
iptables -A INPUT -s 192.168.1.2/255.255.255.0 -j ACCEPT

#Per Winmx. Permette il passaggio dei pacchetti tcp destinati e provenienti dalla 6699
iptables -A INPUT -p tcp --dport 6699 -j ACCEPT
iptables -A INPUT -p tcp --sport 6699 -j ACCEPT

#Per Winmx. Permette il passaggio dei pacchetti udp destinati e provenienti dalla 6257
iptables -A INPUT -p udp --dport 6257 -j ACCEPT
iptables -A INPUT -p udp --sport 6257 -j ACCEPT

#Per Amule. Permette il passaggio dei pacchetti tcp destinati e provenienti dalla 4662
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p tcp --sport 4662 -j ACCEPT

#Per Amule. Permette il passaggio dei pacchetti udp destinati e provenienti dalla 4672
iptables -A INPUT -p udp --sport 4672 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT

#Per navigare su internet. Non sò se serve il secondo ma credo di si. Vedi un pò tu
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Per irc. Io uso Xchat ma le porte sono sempre le stesse
iptables -A INPUT -p tcp --sport 6667 -j ACCEPT

#Per i pong
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

#Per connettersi con gaim (penso pure con kopete). Devo risolvere il problema del trasferimento file
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#Per apt-get install
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#Questa è la policy. Cioè droppa tutto quello che non è nelle regole
iptables -P INPUT DROP

SIIII IL TUO MIRACOLO!!!!!!!!!(sopratutto con linux) Laughing :-P

Ritratto di TheAlchemist
TheAlchemist
(Junior)
Offline
Junior
Iscritto: 09/01/2005
Messaggi: 9

campo prova ad abilitare la porta 20 oltre alla 21.
Ma il computer linux in che posizione della rete e'?

iptables -A INPUT -d 192.168.1.2 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -d 192.168.1.2 -p tcp --dport 21 -j ACCEPT

dovrebbe bastare

Ritratto di TheAlchemist
TheAlchemist
(Junior)
Offline
Junior
Iscritto: 09/01/2005
Messaggi: 9

ad ogni modo sto firewall non e' per niente efficiente, non e' che di una porta devi abilitare sia il --sport che --dport!

Quote:

campo ha scritto:
#Questo è per flushare (cancellare) tutte le regole fatte prima e per cambiare la policy
iptables -F INPUT
iptables -P INPUT ACCEPT

#allora questo è per il loopback o qualcosa del genere ghghghg
iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

#questo è per comunicare con la mia scheda di rete
iptables -A INPUT -s 192.168.1.2/255.255.255.0 -j ACCEPT

#Per Winmx. Permette il passaggio dei pacchetti tcp destinati e provenienti dalla 6699
iptables -A INPUT -p tcp --dport 6699 -j ACCEPT
iptables -A INPUT -p tcp --sport 6699 -j ACCEPT

#Per Winmx. Permette il passaggio dei pacchetti udp destinati e provenienti dalla 6257
iptables -A INPUT -p udp --dport 6257 -j ACCEPT
iptables -A INPUT -p udp --sport 6257 -j ACCEPT

#Per Amule. Permette il passaggio dei pacchetti tcp destinati e provenienti dalla 4662
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p tcp --sport 4662 -j ACCEPT

#Per Amule. Permette il passaggio dei pacchetti udp destinati e provenienti dalla 4672
iptables -A INPUT -p udp --sport 4672 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT

#Per navigare su internet. Non sò se serve il secondo ma credo di si. Vedi un pò tu
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Per irc. Io uso Xchat ma le porte sono sempre le stesse
iptables -A INPUT -p tcp --sport 6667 -j ACCEPT

#Per i pong
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

#Per connettersi con gaim (penso pure con kopete). Devo risolvere il problema del trasferimento file
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#Per apt-get install
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#Questa è la policy. Cioè droppa tutto quello che non è nelle regole
iptables -P INPUT DROP

Ritratto di gad79
gad79
(Geek)
Offline
Geek
Iscritto: 25/12/2004
Messaggi: 103

Quote:

#Questa è la policy. Cioè droppa tutto quello che non è nelle regole
iptables -P INPUT DROP

Non vorrei dirti una caz**** , ma quest'ultima regola elide le regole precedenti , quindi hai tutto chiuso ! Ti funziona internet , con queste regole ?
Devi dunque in modo esplicito indicare cosa chiudere e cosa lasciare aperto. Verifica le mie affermazioni , e poi sappimi dire .

Ciao

Ritratto di campo
campo
(Junior)
Offline
Junior
Iscritto: 14/02/2005
Messaggi: 22

La policy va alla fine. Infatti il programma confronta ogni pacchetto con le regole e ogni volta che non trova l acorrispondenza passa alla regola successiva. Se invece trova corrispondenza allora in base alla regola messa lo scarta o lo accetta (ACCEPT DROP).

SIIII IL TUO MIRACOLO!!!!!!!!!(sopratutto con linux) Laughing :-P