Configurare al meglio il vostro firewall linux con IPTABLES. Come fare ?

Ciao, lo so che l’argomento è stato già trattato in tanti altri forum, blog, web, etcetera etcetera, ma in questo post voglio farvi vedere come ho fatto a proteggere allo stesso modo e momento le connessioni via rete LAN (eth0) e quelle wifi (wlan0). Cosi mi serviva, ma potete inserire l’address della seconda scheda di rete LAN (eth1) al posto di quella wifi.

Anch’io avevo già letto il post di Benjamin (Mizar) in questo forum; poi il bravo Aldo ha riportato sul suo blog ed avevo già controllato ed apportato delle piccole modifiche alle righe del mio IPTABLES.

Giorni fa, avevo bisogno di lavorare su una LAN ed allo stesso momento dovevo tenere d’occhio delle cose su di un’altra LAN.
In pochi minuti ho modificato il settaggio delle iptables, permettendo ora al firewall di lavorare contemporaneamente con le due interfacce.

Ovviamente, il file deve essere reso eseguibile dopo la sua modifica, posozionandolo direttamente nella sua directory definitiva ( /etc/init.d/ ), utilizzando il comando :

sudo chmod a+x /etc/init.d/nome_del_file

oppure sudo chmod 755 /etc/init.d/nome_del_file

Cominciamo.
Vi ricordo che questo è solo l’inizio i quello che potete fare con le regole di IPTABLES.
Leggete i vari manuali in rete per apporfondire il tema e controlare singolarmente ogni porta o protocollo di trasmissione.

Il file originale si chiama firewall.txt. , al quale dobbiamo ancora apportare le modifiche (grazie a Mizar che lo ha creato e ad Aldo che ne aveva già parlato sul suo blog..) .

Scaricato il file, posizionatelo direttamente il /etc/init.d/ nominandolo semplicemente firewall.

Fatto questo, ora procediamo alla modifica del file.

  1. Dopo la riga IFEXT=”eth0″ # Da sostituire con la propria interfaccia: eth0, eth1, ppp0, etc
    aggiungete FEXTW=”wlan0″ # Aggiunta della interfaccia wifi
  2. Trovate gli IPTABLES di INPUT e aggiungete le seguenti righe per abilitare la wlan0
    $IPTABLES -A INPUT -P tcp -I $IFEXTW -m state -s 0/0 –state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -P icmp -I $IFEXTW -m state -s 0/0 –state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -P udp -I $IFEXTW -m state -s 0/0 –state ESTABLISHED,RELATED -j ACCEPT
  3. Successivamente (se usate Amule, con se porte di default ) aggiungete i seguenti IPTABLES di INPUT :
    $IPTABLES -A INPUT -P tcp –dport 4662 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4665 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4672 -j ACCEPT

Ecco fatto, tutto in un solo file e comodamente modificabile.

A questo punto avete gli stessi permessi/restrizioni / blocchi su ambedue le interfadde di rete.

Rendete ora eseguibile il file, eseguendo da Terminale: sudo chmod 755 /etc/init.d/firewall

Avviate il firewall, digitando da terminale (potete anche creare successivamente un pulsante eseguibile sul desktop ) il comando : sudo /etc/init.d/firewall start

Per avviare il firewall all’accensione di Linux, installate BUM ( Boot-Up Manager ), avviatelo da root e configurate il servizio firewall per avviarsi ad ogni avvio. Vedrete, è molto facile farlo utilizzando l’interfaccia grafica.

Gli altri comandi da dare via Terminale, rimangono sempre gli stessi:

  1. sudo /etc/init.d/firewall start
    Avvia il firewall dopo uno Stop
  2. sudo /etc/init.d/firewall stop
    Ferma il firewall e toglie tutte le regole immesse
  3. sudo /etc/init.d/firewall status
    Visualizza lo stato delle regole immesse
  4. sudo /etc/init.d/firewall restart
    Riavvia il firewall, comodo se avete apportato delle modifiche al file
  5. sudo /etc/init.d/firewall reload
    Ricarica le regole, comodo se avete apportato nuove modifiche al file

Con questo post spero di aver aiutato una parte degli utenti che come me necessitano di usare due o più reti alla volta.

Se avete ancora qualche dubbio su come configurare le regole di INPUT, OUTPUT, cosa mettere in DROP o ACCEPT, consultate le informazioni sul sito http://www.etechs.it, che ho trovato molto semplici da seguire. Ecco il link al loro sito.

Attenti a non ‘chiudervi’ in qualche regola DROP !!

Alle prossime, Paolettopn.

5 Risposte

  1. Ciao, mi chiamo Diego e sono alle prime armi con linux. Ho visto che questo post è un po’ datato ma come ci sono arrivato io, possono arrivare altri. inanzi tutto grazie di questa piccola guida, ma devi fare una correzione qui:

    $IPTABLES -A INPUT -p tcp –dport 4662 -j ACCEPT

    non è – ma — (due meno)

    facendo il copia/incolla poi ti da’ Bad Argument “–”…
    solo questo… grazie ancora ciao ciao

  2. Ciao Diego,

    il problema è di wordpress, in quanto editando questo post, i comandi dword e state sono preceduti da due trattini e non uno, come si può vedere nel post, una volta salvato.

    Non sapresi come fare per farlo visualizzare correttamente, spero che chi trova il problema legga anche questo post successivo.

    Mi sembrava strano che la riga di iptables fosse errata, in quanto l’ho usata io tempo fa su di un altro PC, ed ha funzionato.

    Grazie comunque per la segnalazione.

    Alle prossime, Paolettopn.

  3. Ciao paolettopn… Grazie della risposta.

    Senti io uso Kubuntu ed anche amule e quindi ho aggiunto nell’iptables queste righe
    3. $IPTABLES -A INPUT -P tcp –dport 4662 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4665 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4672 -j ACCEPT

    ma ricevo sempre un low id e mi dice che sono dietro firewall. In più vedo che alla rete kad non si collega proprio.
    Ma ora non so se kubuntu ha con se un altro firewall oppure io sto sbagliando la posizione di queste righe?

    Grazie ancora…
    PS: Te per caso frequenti qualche forum?? Perchè non so se faccio bene a chiedere qui…

  4. Ciao Diego,

    sono passato a dare un occhiata al blog ed ho trovato il tuo post…

    Spesso, anche avendo inserito i valori corretti nel proprio firewall, accade quello che descrivi…

    … infatti può accadere che il tuo ISP (internet service provider , colui che ti fornisce l’adsl… per capirci) abbia inserito dei filtri sulle porte di default di amule.

    Controlla anche il tuo router, abilitando il passaggio dei dati sulle porte interessate.

    Nel caso in cui tu non riuscissi a risolvere il problema, cerca con google ‘emule porte udp’ e troverai altre soluzioni…

    Alle prossime, Paolettopn.

    P.S. Scusami ma sono di fretta, in quanto sto ancora lavorando alla traduzione di FCM…

  5. ciao ragazzi, spero ke qualcuno legga questo post… perchè sono in crisi…sto usando ubuntu..prime armi direi.. e ho installato amule… ma la freccia del kad è sempre gialla (firewalled)
    ho provato a dare le 3 righe:

    $IPTABLES -A INPUT -P tcp –dport 4662 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4665 -j ACCEPT
    $IPTABLES -A INPUT -P udp –dport 4672 -j ACCEPT

    ma non accade nulla…

    ho già controllato il router, aprendo le porte…infatti ora l’altra freccia è verde, ma quella del kad è sempre gialla…che faccio???

    spero che qualcuno di voi veda questo post e mi aiuti

    grazie !!!

    sara

    P.S. Paolettopn scrive: sara ho corretto il tuo post, in quanto il mio blog non usa il T9 come i cellulari e qui ci si esprime utilizzando la bellissima lingua italiana. Il senso del tuo post è comunque rimasto invariato… Grazie.

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: