[Risolto] iptables rules

Problemi e discussioni inerenti ad Archlinux su architetture non ufficialmente supportate
Rispondi
mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 20 settembre 2010, 16:35

Ciao a tutti...
sto configurando iptables seguendo la guida:
http://wiki.archlinux.org/index.php/Sim ... l_firewall
Non riesco a capire una cosa di questa regola, ovvero a cosa server il numero 8 ??

Codice: Seleziona tutto

# iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT
Inoltre vi volevo chiedere un'altra cosa.
Io aggiungo le regole da linea di comando, come da guida, ma mi chiedevo in quale file venissero salvate in modo che se poi non mi funzioni qualcosa possa cancellare le regole che mi danno problemi.

Grazie
Ultima modifica di mattia il 10 febbraio 2011, 8:21, modificato 1 volta in totale.

Demind
Little John
Messaggi: 816
Iscritto il: 6 settembre 2007, 19:37
Località: Massy

Messaggio da Demind » 20 settembre 2010, 17:29

mattia ha scritto:Ciao a tutti...
sto configurando iptables seguendo la guida:
http://wiki.archlinux.org/index.php/Sim ... l_firewall
Non riesco a capire una cosa di questa regola, ovvero a cosa server il numero 8 ??

Codice: Seleziona tutto

# iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT
icmp type 8, primo link di Google ;)
Inoltre vi volevo chiedere un'altra cosa.
Io aggiungo le regole da linea di comando, come da guida, ma mi chiedevo in quale file venissero salvate in modo che se poi non mi funzioni qualcosa possa cancellare le regole che mi danno problemi.

Grazie
Sulla guida ti dice di guardare il file /etc/conf.d/iptables, che è pure logico dato che è un file di configurazione di un demone.
All'interno del file trovi la posizione del file, ovvero /etc/iptables/iptables.rules, altrettanto logico :D
Tutte le configurazioni, a meno di ridottissime eccezioni, risiedono nella cartella /etc


detto questo mi sfugge perchè tu abbia postato in questa sezione la domanda!
Linux User: #471778

mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 20 settembre 2010, 17:31

Grazie per la risposta..

Dove avrei dovuto postare?

mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 20 settembre 2010, 18:00

avrei un'altra richiesta..
Non riesco a capire il senso di questa parte della guida e cosa centri soprattutto con ssh
The recent module can be used to keep track of hosts with rejected connection attempts and return a TCP RST for any SYN packet they send to open ports as if the port was closed. If an open port is the first to be scanned, a SYN ACK will still be returned, so running applications such as ssh on non-standard ports is required for this to work consistently.
Grazie

Demind
Little John
Messaggi: 816
Iscritto il: 6 settembre 2007, 19:37
Località: Massy

Messaggio da Demind » 20 settembre 2010, 18:15

mattia ha scritto:avrei un'altra richiesta..
Non riesco a capire il senso di questa parte della guida e cosa centri soprattutto con ssh
The recent module can be used to keep track of hosts with rejected connection attempts and return a TCP RST for any SYN packet they send to open ports as if the port was closed. If an open port is the first to be scanned, a SYN ACK will still be returned, so running applications such as ssh on non-standard ports is required for this to work consistently.
Grazie
Decontestualizzata non ti aiuta molto...se la leggi nel complesso è chiara, semplicemente ti spiega come insegnare a iptables a tenere traccia degli host con le connessioni rifiutate negli ultimi 20 secondi usando il modulo recent.
In questo modo una scansione su porte aperte da parte di chi è nella "blacklist" non riceverà un SYN ACK bensì un TCP RST..come se la porta fosse chiusa. Ssh è solo un esempio di applicazione, in caso non usi la porta 22, ma altre porte...è un esempio di applicazione che può utilizzare una qualsiasi porta non standard aperta.

Non sono un moderatore ma direi che intuitivamente quando sia hanno domande relative a reti, server, sicurezza si dovrebbero postare senza nemmeno pensarci nella sezione apposita :D
Linux User: #471778

mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 20 settembre 2010, 18:42

Oltre al fatto che in /proc/net/ipt_recent non esiste, succede una cosa di questo tipo:

Se "qualcuno" fa uno scanning delle porte aperte del mio sistema, questo riconosce lo scanning e automaticamente lo mette in una lista, TCP-PORTSCAN, fatta di indirizzi IP blacklistati e ci rimane per 60 secondi ?

Codice: Seleziona tutto

# iptables -I OPEN-TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-rst
Ad ogni modo se "qualcuno" fa una richiesta direttamente ad una porta aperta il mio sistema risponde con SYN ACk per evitare di creare problemi a servizi che girano su porte non standard, giusto?

Demind
Little John
Messaggi: 816
Iscritto il: 6 settembre 2007, 19:37
Località: Massy

Messaggio da Demind » 20 settembre 2010, 18:55

mattia ha scritto:Oltre al fatto che in /proc/net/ipt_recent non esiste, succede una cosa di questo tipo:
La guida va cambiata, da qualche tempo trovi tutto all'interno della cartella /proc/net/xt_recent/ , ovvero i files SSH, TCP-PORTSCAN, UDP-PORTSCAN :)
Se "qualcuno" fa uno scanning delle porte aperte del mio sistema, questo riconosce lo scanning e automaticamente lo mette in una lista, TCP-PORTSCAN, fatta di indirizzi IP blacklistati e ci rimane per 60 secondi ?
Solo se ha è nella "blacklist", dalla guida: hosts with rejected connection attempts

Ad ogni modo se "qualcuno" fa una richiesta direttamente ad una porta aperta il mio sistema risponde con SYN ACk per evitare di creare problemi a servizi che girano su porte non standard, giusto?
Esatto, a meno che non sia presente nella lista di cui sopra
Linux User: #471778

mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 21 settembre 2010, 8:30

Purtroppo sul mio non esiste nemmeno /proc/net/xt_recent !!

Demind
Little John
Messaggi: 816
Iscritto il: 6 settembre 2007, 19:37
Località: Massy

Messaggio da Demind » 21 settembre 2010, 11:45

mattia ha scritto:Purtroppo sul mio non esiste nemmeno /proc/net/xt_recent !!
Sì ma hai aggiunto la regola di iptables e riavviato il demone dopo averla salvata?Se non hai fatto questo non potrà mai esistere...se proprio vuoi vederla (vuota come nella stragrande maggioranza dei casi, è una misura di sicurezza elevata non è una cosa standard), senza lanciare iptables, devi fare un

Codice: Seleziona tutto

modprobe xt_recent
E allora si crea la cartella
Ultima modifica di Demind il 21 settembre 2010, 11:46, modificato 1 volta in totale.
Linux User: #471778

mattia
Arciere
Messaggi: 170
Iscritto il: 10 febbraio 2010, 13:59
Località: Brescia

Messaggio da mattia » 10 febbraio 2011, 8:21

grazie di tutto anche se in ritardo!

Rispondi