PDA

Visualizza versione completa : firewall iptables e porte ancora visibili


bravebrain
21-04-2004, 13.06.53
Ciao a tutti :). Il problema è il firewall iptables su kernel 2.4.23. Dopo un po' di ricerche su internet e tanta, davvero tanta :confused: , pazienza sono riuscito a configurare un firewall che sembra dignitoso, filtrando i pacchetti icmp non necessari e i potenziali pacchetti tcp e udp pericolosi. Ho consentito soltanto l'utilizzo dei tradizionali servizi necessari per navigazione e annessi. Ora mi chiedo: come mai, facendo il test di sicurezza sul sito della Shields UP, con Windows XP (firewall Zone Alarm) tutte le porte, anche la 80, risultano schermate e non visibili, mentre con Linux tale porta e qualche altra necessaria vengono viste come non schermate ma semplicemente chiuse? Posso fare qualcosa affinché anche in Linux i risultati del test siano "più rassicuranti?".
Mi chiedo anche... all'inizio di /etc/sysconfig/iptables, quando dichiaro le regole delle catene, per INPUT e OUTPUT devo necessariamente dare ACCEPT (cosa che non ho letto essere consigliata per una rete Linux), altrimenti non parte correttamente neanche l'interfaccia grafica.
Ho provato a servirmi, per scrivere le regole, anche di tools come fwbuilder, che offre una comoda e piacevole interfaccia grafica.
Aspetto le vostre dritte.

Ghandalf
22-04-2004, 01.48.36
Personalmente come GUI per iptables ho utilizzato guarddog per un pezzo..;)..e' semplice da configurare ed i test erano identici ad XP con Kerio..:)...tutto stealth

bravebrain
22-04-2004, 20.40.03
Bravo Ghandalf! :)
Ho installato guarddog e adesso tutto va a meraviglia, come hai detto. Che dirti, se non grazie? :p
Ne approfitto per chiederti se il file /etc/sysconfig/iptables può essere modificato con il comando /sbin/iptables-save -c > /etc/sysconfig/iptables, in modo da leggere come sarebbe tale file con le opzioni scelte per guarddog (se vi è correlazione fra lo script iptables e guarddog).

bravebrain
22-04-2004, 23.24.44
Ho visto che guarddog ha una comoda funzione, che permette di esportare come script iptables la configurazione creata. Lo script può essere messo al posto di /etc/rc.d/init.d/iptables e con il comando /sbin/iptables-save -c > /etc/sysconfig/iptables si può creare /etc/sysconfig/iptables bello pronto per la lettura. :D
Ma a questo punto mi chiedo: a che cosa serve /etc/sysconfig/iptables, dato che anche senza il passaggio con iptables-save il tutto funziona ugualmente ???