(R)ex : [Pluto-help] firewall script

(R)ex Sanna 77512746 a tiscali.it
Ven 21 Feb 2003 15:06:22 CET 

gianni a cln.it: ..riguardo "[Pluto-help] firewall script" 

# Salve ragazzi,
Ciao..

# esistono dei buoni script per iptables gia' pronti e magari facilmente
# customizzabili per rendere "sicura" (ho messo le virgolette) una
# macchina?
#
# me lo posso anche scrivere, ma sicuramente si trovano gia' fatti da chi
# ne sa molto piu' di me...
Non ne so molto piu' di te, ma ho creato questo, che sto ancora ultimando..
Se ti serve qualche dritta, inizia con questo, sono sicuro che ti schiarisce un poco 
le idee su come fare il tuo filtro preferito.. :o)


Dimenticavo :
ZERO e' una macchina che concede la connessione a tutti quelli che stanno sotto LAB [192.168.0.0/24]
e di conseguenza ha qualcosa che probabilmente non ti serve, a meno che tu non stia pacioccando su 
una macchina server.. 

Se la tua macchina e' la sola di casa, allora la parte sotto PIPPO puoi saltarla a piedi pari.. :o)


===================================================================
= /root/scripts/iptables-settings
===================================================================

# ### (R)ex Hacked File
# Come gestire il firewall casalingo.
# Questa macchina e' gestita per la connessione 24/7 ad internet. Ovviamente questa connessione
# deve essere condivisa con tutte le macchine che appartengono alla zona.
#
# Non e' un file definitivo, anche perche' nulla e' definitivo in casa mia..
# Quindi ci sono controlli ridondanti e superflui, ma dato che questo e' da considerarsi una opera
# in sviluppo, se non posto questo, nessuno inizia a darci una occhiata..
#
# Creiamo un FW standard per i servizi che girano...
# ATTENZIONE : Per controllare come far girare ICQ, leggere :
# 			http://www.pluto.linux.it/ildp/HOWTO/mini/Firewall-Piercing.html
# 
#
# Grazie per l'attenzione, Dido, attendo qualche tuo commento [in privato] ..
INTERNET=0.0.0.0/0
LAB=192.168.0.0/24

EXTIF=ppp+
INTIF=eth0


# Questo e' il nome della mia macchina, ma sono sicuro che e' meglio se lo cambi con il 
# tuo, per capire meglio come ti va..
ZERO=192.168.0.1
LOCALHOST=127.0.0.1

# BANNER :
# [Lo so, sono un maniaco.. :o) ]
echo "# ### (R)ex Hacked Script : [IPTABLES]"



echo -n "# Flushing regole : "
iptables -F
iptables -t nat -F

echo " OK! "


echo -n "# Disabilitazione forward : "

echo 0 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/conf/eth0/rp_filter ]; then
    echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
fi

if [ -e  /proc/sys/net/ipv4/conf/ppp0/rp_filter ]; then
    echo 0 > /proc/sys/net/ipv4/conf/ppp0/rp_filter
fi

echo " OK!"


# ATTENZIONE!!! 
# Questa catena esiste sui sistemi Red Hat. NON CONSIGLIO DI TOGLIERLA fin quando
# non saprete gestire il FW come io rollo una sigaretta++ :o)
#
# [uomo avvisato.. ]
echo "# Cancellazione della catena Red Hat LOKKIT :"
iptables -X RH-Lokkit-0-50-INPUT
echo "# OK!"


# #######################################################################
echo -n "# Configurazione catena di INPUT :"
# #######################################################################
iptables -P INPUT ACCEPT

# Accetto TCP stuff:
iptables -A INPUT -p tcp --src $LAB -d $ZERO -j ACCEPT
iptables -A INPUT -p tcp --src $LOCALHOST -d $LOCALHOST -j ACCEPT

# Accetto UDP stuff:
iptables -A INPUT -p udp --src $LAB -d $ZERO -j ACCEPT
iptables -A INPUT -p udp --src $LOCALHOST -d $LOCALHOST -j ACCEPT


# dns
iptables -A INPUT -p tcp -s $LAB -d $ZERO --dport 59 -j ACCEPT

# netbios
#iptables -A INPUT -p tcp -s $LAB -d $ZERO --dport 137 -j ACCEPT
#iptables -A INPUT -p tcp -s $LAB -d $ZERO --dport 139 -j ACCEPT
#iptables -A INPUT -p udp -s $LAB -d $ZERO --dport 137 -j ACCEPT
#iptables -A INPUT -p udp -s $LAB -d $ZERO --dport 139 -j ACCEPT

# mail
#iptables -A INPUT -p tcp -d $ZERO --dport 25 -j ACCEPT


# ftp
#iptables -A INPUT -p tcp -d $ZERO --dport 21 -j ACCEPT

# telnet
#iptables -A INPUT -p tcp -d $ZERO --dport 23 -j ACCEPT


# -------------------------------------
# LOCALHOST :
# -------------------------------------
#iptables -A INPUT -p tcp -d 127.0.0.1 -j ACCEPT
#iptables -A INPUT -p udp -d 127.0.0.1 -j ACCEPT



#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -j DROP





echo " OK!"

# #######################################################################
echo -n "# Configurazione catena di OUTPUT :"
# #######################################################################
iptables -P OUTPUT ACCEPT

iptables -A OUTPUT -s $LAB -d $ZERO -j ACCEPT
iptables -A OUTPUT -s $ZERO -d $LAB -j ACCEPT

# netbios
iptables -A OUTPUT -p tcp -s $INTERNET -d $ZERO --dport 137 -j DROP
iptables -A OUTPUT -p tcp -s $INTERNET -d $ZERO --dport 139 -j DROP
iptables -A OUTPUT -p udp -s $INTERNET -d $ZERO --dport 137 -j DROP
iptables -A OUTPUT -p udp -s $INTERNET -d $ZERO --dport 139 -j DROP






echo " OK!"

# #######################################################################
echo -n "# Configurazione catena di FORWARD:"
# #######################################################################
iptables -P FORWARD ACCEPT

iptables -I FORWARD -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s $LAB -d $INTERNET -j ACCEPT




echo " OK!"



#
# PIPPO!!!
#


# #######################################################################
echo -n "# NAT STUFF : "
# #######################################################################
iptables -t nat -A POSTROUTING -o $EXTIF -s $LAB -j MASQUERADE
#iptables -t nat -A OUTPUT -o $EXTIF -s $LAB -j MASQUERADE
#iptables -t nat -A POSTROUTING -o $INTIF -p tcp -s $LAB --sport 1024:65535  -m state --state ESTABLISHED -j ACCEPT


echo " OK!"


# #######################################################################
# Fine della configurazione:
# #######################################################################

echo -n "# Ripristino forward dei pacchetti : "

echo 1 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/conf/eth0/rp_filter ]; then
    echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
fi


if [ -e /proc/sys/net/ipv4/conf/ppp0/rp_filter ]; then
    echo 1 > /proc/sys/net/ipv4/conf/ppp0/rp_filter
fi

echo " OK!"

echo
echo

echo "# ## SETTAGGIO CORRENTE : ##############################################"
echo "# ----------------------------------------------------------------- "
echo "# FIREWALL -- Configurazione :"
echo "# ----------------------------------------------------------------- "

iptables -L

echo ""
echo ""
echo "# ----------------------------------------------------------------- "
echo "# NAT -- Configurazione :"
echo "# ----------------------------------------------------------------- "

iptables -t nat -n -L

echo "# ########################################################### DONE ! ###"
====================================================================

Lo script ultimato sara pubblicato nelle mie pagine.
Ora come ora, non ti resta che provare a fare da solo.
RICORDA CHE IL PLUTO NON E' UN SERVIZIO NATO PER TE.
Questo significa che e' una bozza, e che tutto quello che non e' "generico" te lo devi studiare 
e creare da solo, infatti :

"..una cosa e' conoscere la strada giusta, un'altra imboccarla." -- Morpheus

Ti consiglio vivamente di leggere anche qualche documento piu' specifico a riguardo :

http://www.pluto.linux.it/ildp/HOWTO/PPP/index.html
http://www.tldp.org/HOWTO/mini/Bridge+Firewall+DSL.html
http://www.pluto.linux.it/ildp/HOWTO/mini/Firewall-Piercing.html

Come vedi, e' tutta roba pluto.. [pluto stuff]

LA CONSIGLIO A TUTTI QUELLI CHE HANNO INTENZIONE DI METTERE SU IN FIREWALL IN CASA!!!
[E anche quelli che non .. :o) ]




PS :  ATTENZIONE!!!
L'argomento FIREWALL e' da trattarsi nella ML pluto-security, dove trovate anche Dido e (R)ex che
vi raccontano qualche trucco.. :o)

[

Scusate la verbosita' di questo messaggio, ma dato che ho cambiato font, e che mi piace un casino, 
mi piace anche leggere quello che ho scritto, e non mi sembra niente male.. :o)

Che maniaco che sono.. 

Qualcuno ha una sigaretta? [OK ale, vado a comprarle non appena spiove..]

]

Baci per tutti, oggi offro io..

-- 
# ===================================================================
# Manuel (R)ex Sanna
# [Studente al Dipartimento di Informatica di Torino]
#--------------------------------------------------------------------
# I computer non servono a nulla. Danno solo risposte
#                                                 -- Pablo Picasso --
# ===================================================================

More information about the pluto-help mailing list