Arch Linux

[mattia]

Ciao a tutti...
sto configurando iptables seguendo la guida:
http://wiki.archlinux.org/index.php/Simple_stateful_firewall
Non riesco a capire una cosa di questa regola, ovvero a cosa server il numero 8 ??

Codice: Seleziona tutto

# iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT

Inoltre vi volevo chiedere un'altra cosa.
Io aggiungo le regole da linea di comando, come da guida, ma mi chiedevo in quale file venissero salvate in modo che se poi non mi funzioni qualcosa possa cancellare le regole che mi danno problemi.

Grazie

[Demind]

Ciao a tutti...
sto configurando iptables seguendo la guida:
http://wiki.archlinux.org/index.php/Simple_stateful_firewall
Non riesco a capire una cosa di questa regola, ovvero a cosa server il numero 8 ??

Codice: Seleziona tutto

# iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT

icmp type 8, primo link di Google

Inoltre vi volevo chiedere un'altra cosa.
Io aggiungo le regole da linea di comando, come da guida, ma mi chiedevo in quale file venissero salvate in modo che se poi non mi funzioni qualcosa possa cancellare le regole che mi danno problemi.

Grazie

Sulla guida ti dice di guardare il file /etc/conf.d/iptables, che è pure logico dato che è un file di configurazione di un demone.
All'interno del file trovi la posizione del file, ovvero /etc/iptables/iptables.rules, altrettanto logico
Tutte le configurazioni, a meno di ridottissime eccezioni, risiedono nella cartella /etc


detto questo mi sfugge perchè tu abbia postato in questa sezione la domanda!

[mattia]

Grazie per la risposta..

Dove avrei dovuto postare?

[mattia]

avrei un'altra richiesta..
Non riesco a capire il senso di questa parte della guida e cosa centri soprattutto con ssh

The recent module can be used to keep track of hosts with rejected connection attempts and return a TCP RST for any SYN packet they send to open ports as if the port was closed. If an open port is the first to be scanned, a SYN ACK will still be returned, so running applications such as ssh on non-standard ports is required for this to work consistently.

Grazie

[Demind]

avrei un'altra richiesta..
Non riesco a capire il senso di questa parte della guida e cosa centri soprattutto con ssh

The recent module can be used to keep track of hosts with rejected connection attempts and return a TCP RST for any SYN packet they send to open ports as if the port was closed. If an open port is the first to be scanned, a SYN ACK will still be returned, so running applications such as ssh on non-standard ports is required for this to work consistently.

Grazie

Decontestualizzata non ti aiuta molto...se la leggi nel complesso è chiara, semplicemente ti spiega come insegnare a iptables a tenere traccia degli host con le connessioni rifiutate negli ultimi 20 secondi usando il modulo recent.
In questo modo una scansione su porte aperte da parte di chi è nella "blacklist" non riceverà un SYN ACK bensì un TCP RST..come se la porta fosse chiusa. Ssh è solo un esempio di applicazione, in caso non usi la porta 22, ma altre porte...è un esempio di applicazione che può utilizzare una qualsiasi porta non standard aperta.

Non sono un moderatore ma direi che intuitivamente quando sia hanno domande relative a reti, server, sicurezza si dovrebbero postare senza nemmeno pensarci nella sezione apposita

[mattia]

Oltre al fatto che in /proc/net/ipt_recent non esiste, succede una cosa di questo tipo:

Se "qualcuno" fa uno scanning delle porte aperte del mio sistema, questo riconosce lo scanning e automaticamente lo mette in una lista, TCP-PORTSCAN, fatta di indirizzi IP blacklistati e ci rimane per 60 secondi ?

Codice: Seleziona tutto

# iptables -I OPEN-TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-rst

Ad ogni modo se "qualcuno" fa una richiesta direttamente ad una porta aperta il mio sistema risponde con SYN ACk per evitare di creare problemi a servizi che girano su porte non standard, giusto?

[Demind]

Oltre al fatto che in /proc/net/ipt_recent non esiste, succede una cosa di questo tipo:

La guida va cambiata, da qualche tempo trovi tutto all'interno della cartella /proc/net/xt_recent/ , ovvero i files SSH, TCP-PORTSCAN, UDP-PORTSCAN

Se "qualcuno" fa uno scanning delle porte aperte del mio sistema, questo riconosce lo scanning e automaticamente lo mette in una lista, TCP-PORTSCAN, fatta di indirizzi IP blacklistati e ci rimane per 60 secondi ?

Solo se ha è nella "blacklist", dalla guida: hosts with rejected connection attempts

Ad ogni modo se "qualcuno" fa una richiesta direttamente ad una porta aperta il mio sistema risponde con SYN ACk per evitare di creare problemi a servizi che girano su porte non standard, giusto?

Esatto, a meno che non sia presente nella lista di cui sopra

[mattia]

Purtroppo sul mio non esiste nemmeno /proc/net/xt_recent !!

[Demind]

Purtroppo sul mio non esiste nemmeno /proc/net/xt_recent !!

Sì ma hai aggiunto la regola di iptables e riavviato il demone dopo averla salvata?Se non hai fatto questo non potrà mai esistere...se proprio vuoi vederla (vuota come nella stragrande maggioranza dei casi, è una misura di sicurezza elevata non è una cosa standard), senza lanciare iptables, devi fare un

Codice: Seleziona tutto

modprobe xt_recent

E allora si crea la cartella

[mattia]

grazie di tutto anche se in ritardo!