Mail Server Sicuro con Postfix: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Riga 1: Riga 1:
== Disclaimer ==
<pre>
#!/bin/bash
##
clear
##
####################
VERSION="2003.06.11"
####################
##
## Interfaccia interna fidata 'settare la propria'
IIF="eth0"
# IIF="eth1"
##
## Interfaccia esterna da proteggere 'settare la propria'
## in genere l'interfaccia esterna e' configurata da un DHCP quindi ha indirizzo dinamico.
EIF="ppp0"
# EIF="eth0"
# EIF="eth1"
## Se l'interfaccia esterna ha un IP statico, dichiararlo
# EIP="xx.xx.xx.xx"
##
## Indirizzo macchina router (si presume che il firewall giri sulla macchina router
## in caso contrario correggere manualmente questo indirizzo)
##
## Se preferite utilizzare un indirizzo statico, decommentate la linea che indica un IP
## altrimenti se utilizzate un DHCP o non conoscete l'indirizzo
## usate il riconoscimento tramite ifconfig
## controllare comunque che lo script riconosca l'indirizzo IP (potrebbe non andare su macchine che
## utilizzano shell particolari o che formattano ifconfig diversamente.
##
SERVER=` ifconfig $IIF | grep inet | cut -d : -f2 | cut -d ' ' -f1`
# SERVER="192.168.10.2"
##
## Indirizzo macchina client da inserire a mano, se il server condivide la connessione
## internet, questa macchina sar� autorizzata ad accedere al firewall via eth0
## al posto di un singolo host e' possibile utilizzare una rete intera usando
## la notazione RETE/NETMASK
## attenzione alla banda disponibile perch� una rete genera parecchio traffico..;)
CLIENT="10.22.115.11"
# CLIENT"192.168.10.0/24"
##
## Loopback
LOCALHOST="127.0.0.1"
##
## Rete interna
## controllare che gli script ottengano i valori corretti
## o sostituire con valori statici.
net=` ifconfig $IIF | grep inet | cut -d : -f2 | cut -d ' ' -f1 | cut -d . -f1,2,3`
mask=` ifconfig $IIF | grep inet | cut -d : -f4 | cut -d ' ' -f1`
LOCALNET="$net.0/$mask"
##
## Broadcast
BROADCAST=` ifconfig $IIF | grep inet | cut -d : -f3 | cut -d ' ' -f1`
##
## Provider1 DNS 'inserire i propri dns'
# DNS1="212.216.172.62"
DNS1="195.130.224.18"
##
## Provider2 DNS
#DNS2="195.130.224.18"
DNS2="192.160.10.31"
##
## Local DNS
DNS3="212.245.255.2"
## questo potrebbe essere il DNS locale, in seguito sara' prevista la configurazione
## per il funzionamento di un dns locale.
##
## Per qualunque problema...;)
EMAIL="m.m.asciutti@email.it"
##
## PATH di iptables 'adattare alla propria macchina, se necessario'
IPT=` which iptables`
##
## NOTA:
## Dopo aver modificato i parametri base per adattare lo
## script alle proprie esigenze, salvarlo e renderlo eseguibile
## in particolare adattare l'indirizzo del client o della rete che
## verra' nattata
## verificare inoltre che lo script che preleva
## l'indirizzo IP da ifconfig sia funzionante
## sul proprio sistema.
##
## Decommentare se si desidera aggiungere lo script al PATH di sistema
# export PATH=$PATH:$NPATH
##
## Nome dello script e Posizione assoluta
NFILE="firewall"
NPATH="/etc/rc.d"
##
## NOTA:
## il percorso predefinito e' "/etc/rc.d/" ed
## il nome predefinito e' "firewall"
## ma e' possibile utilizzare qualsiasi nome / percorso
## avendo cura di modificare le variabili NFILE e NPATH'
##
## Setto permessi e proprietario
chown root $NPATH/$NFILE
chmod 700 $NPATH/$NFILE
##
## NOTA:
## questa funzione viene richiamata solo con
## l'opzione stop e serve a rimuovere i moduli
## caricati dal firewall
##
#ANSI COLOR
MAGENTA='\e[35m'
GREEN='\e[32m'
YELLOW='\e[33m'
WHITE='\e[37m'
BLUE='\e[34m'
CYAN='\e[36m'
RED='\e[31m'
NULL='\e[0m'
COLOR=$BLUE
##
case "$1" in
#**************************************************************START
start)
clear
COLOR=$RED
msg=" Attivo il firewall ..."
echo -e "$COLOR$msg$NULL\n"


Questa guida guida si prefigge di raccogliere informazioni riguardo udev, la sua configurazione e il suo utilizzo dal punto di vista dell'utente su sistemi Debian GNU/Linux.
##
## Politica INPUT
chain="DROP"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Routing
fw="ACCEPT"
CF="1"
##
## Opzioni diverse dalle standard
##
## Politica OUTPUT
## 'se si attiva, decommentare le regole relative all'uscita dei pacchetti'
## outchain="DROP"
##
## Non funziona da router
# fw="DROP"
# CF="0"
##
## Opzioni kernel
SC="1"
ER="1"
DE="1"
TW="1"
SR="0"
DR="0"
ASR="0"
ISR="1"
SAV="1"
LOG="1"
DSR="1"
##
## Solo cosmetico
SET="Abilito"
MSET="Abilito"
function netfilter()
{
exit 0
}
;;
#*******************************************************************STOP
stop)


Molte delle informazioni sono tratte (e tradotte) da <tt>/usr/share/doc/udev/</tt>. Si prega di correggere o segnalare ogni possibile (e probabile) inesattezza.
clear
COLOR=$GREEN
msg=" Disattivo il firewall ..."
echo -e "$COLOR$msg$NULL\n"
##
## Politica INPUT
chain="ACCEPT"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Non funziona da router
fw="DROP"
CF="0"
##
## Opzioni kernel
SC="0"
ER="0"
DE="0"
TW="0"
SR="1"
DR="1"
ASR="1"
ISR="0"
SAV="0"
LOG="0"
DSR="0"
##
## Solo cosmetico
SET="Disabilito"
MSET="Disabilito"
##
function netfilter()
{
if [ -f /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_tables.o ]; then
( rmmod ip_contrackt \
ip_contrack_ftp \
ip_nat_ftp \
ip_queue \
ip_tables \
ipt_LOG \
ipt_MARK \
ipt_MASQUERADE \
ipt_MIRROR \
ipt_REDIRECT \
ipt_TCPMSS \
ipt_TOS \
ipt_limit \
ipt_mac \
ipt_mark \
ipt_multiport \
ipt_owner \
ipt_state \
ipt_tcpmss \
ipt_tos \
ipt_unclean \
iptable_filter \
iptable_mangle \
iptable_net
) > /dev/null 2> /dev/null


== Il sottosistema hotplug ==
( rmmod ipfwadm; rmmod ipchains; modprobe ip_tables ) > /dev/null 2> /dev/null


Il sottosistema hotplug (dall'inglese: connessione a caldo, cio� a PC acceso) � un servizio del kernel che provvede a notificare in user space l'avvenuta connessione di un nuovo dispositivo.
fi
Nell'evoluzione del kernel Linux questo servizio ha subito diverse modificazioni, nel tentativo di migliorare ogni volta in termini di prestazioni e flessibilit�.
exit 0
}
;;
#*************************************************************ROUTER
router)


Nei kernel 2.4 l'interfaccia tra i driver e i programmi era fornita assieme a tutte le configurazioni del kernel stesso tramite il filesystem virtuale <tt>/proc</tt>, e i file di dispositivo erano creati staticamente: nella directory <tt>/dev</tt> erano presenti tutti i possibili device file.
clear
Nel tentativo di migliorare il sistema venne implementato devfs, un altro filesystem virtuale, che si occupava solo dell'interazione programmi-driver, separando cos� la gestione di questi da quella del kernel.
COLOR=$YELLOW
msg=" Attenzione, disattivo il firewall ed attivo il forwarding..."
echo -e "$COLOR$msg$NULL\n"


A partire dal kernel 2.6 devfs � stato progressivamente abbandonato e sostituito dal sysfs, ancora un filesystem virtuale, che adotta una nuova e unificata interfaccia verso i driver e che risulta migliore di tutte le implementazioni passate.
##
## Politica INPUT
chain="ACCEPT"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Funziona da router
fw="ACCEPT"
CF="1"
##
## Opzioni kernel
SC="0"
ER="0"
DE="0"
TW="0"
SR="1"
DR="1"
ASR="1"
ISR="0"
SAV="0"
LOG="0"
DSR="0"
##
## Solo cosmetico
SET="Disabilito"
MSET="Abilito"
function netfilter()
{
exit 0
}
;;
#**************************************************************HELP
help)
clear
COLOR=$CYAN
msg=" Help..."
echo -e "$COLOR$msg"
echo ""
echo "$NFILE start "
echo " Setta il firewall secondo le opzioni"
echo " indicate, e' possibile modificare "
echo " gran parte dei parametri predefiniti"
echo " per utilizzare lo script secondo le"
echo " proprie esigenze."
echo ""
echo "$NFILE stop"
echo " Resetta il firewall, permette il passaggio"
echo " di tutti i pacchetti in ingresso su ogni "
echo " interfaccia disabilitando l'utilizzo "
echo " del PC come router;"
echo " navigate usando questa modalita' il meno possibile."
echo ""
echo "$NFILE router"
echo " Abilita il transito dei pacchetti"
echo " tra $IIF e $EIF senza nessun firewall"
echo " utilizzare esclusivamente per testare la rete"
echo " o usare un secondo firewall tra router e rete"
echo " molti settaggi del kernel non sono pensati per la sicurezza"
echo " ma solo per testare la rete senza perdita di nessun tipo di pacchetti,"
echo " e' PERICOLOSO. "
echo ""
echo "$NFILE info"
echo " Mostra il settaggio attuale dei parametri base"
echo " per controllare le personalizzazioni sullo script."
echo ""
echo "$NFILE policy"
echo " Mostra le politiche impostate con start"
echo " e le statistiche relative al funzionamento del firewall"
echo " i pacchetti ricevuti, droppati, loggati ecc."
echo ""
echo "$NFILE vsf"
echo " Verifica se il server e in presenza di "
echo " attacco Syn Flood."
echo " E' possibile settare alcuni parametri per diminuire "
echo " la vulnerabilita' all'attacco (indicati nel corpo dello script)."
echo " I tentativi di attacco sono comunque tutti loggati."
echo ""
echo "$NFILE help"
echo " Visualizza questo messaggio"
echo -e "$NULL\n"
echo "Per ogni suggerimento:$EMAIL"
echo ""
exit 0


Qualsiasi sia l'interfaccia che il kernel mette a disposizione, � necessario in user space un programma che si occupi di ricevere le notifiche di hotplug e compiere le azioni necessarie per l'utilizzo delle periferiche notificate (caricare moduli, eseguire script ed, eventualmente, creare file di dispositivo in <tt>/dev</tt>).
;;
#***************************************************************INFO
info)
clear
COLOR=$MAGENTA
msg=" Info ..."
echo -e "$COLOR$msg"
echo ""
##
echo ""
echo " il PATH di questo script e' $NPATH/$NFILE"
echo " il PATH di iptables e' $IPT"
echo " l'interfaccia interna e' la $IIF"
echo " l'interfaccia esterna e' la $EIF"
echo " l'indirizzo IP del pc server/router e' $SERVER "
echo " l'indirizzo IP del pc client fidato e' $CLIENT"
echo " la rete locale e' $LOCALNET"
echo " l'indirizzo broadcast e' $BROADCAST"
echo " il DNS primario e' $DNS1"
echo " il DNS secondario e' $DNS2"
echo ""
echo -e "$NULL\n"


Prima di udev il programma che svolgeva questo compito era stato chiamato, con poca fantasia, hotplug.
exit 0
Hotplug � tutt'ora in grado di svolgere il suo compito, ma ha alcune limitazioni che si sta tentando di superare:


*� uno script bash, quindi � lento. Notare che la cosa � ininfluente per gli utenti comuni, a meno che non si connettano decine di periferiche al minuto ;-)
;;
*sempre a causa della sua natura di script, occupa molto pi� spazio di un programma C, considerato anche che necessita dell'interprete /bin/sh. Anche che questo fattore non tocca direttamente un utente comune, ma � invece fondamentale per chi sta riorganizzando il processo di boot per implementare un sistema di hotplug dentro ad un nuovo tipo di initrd: l'initramfs.
#***************************************************************INFO
*deve funzionare anche sui kernel 2.4, quindi non si appoggia al sysfs, perdendo in performance e funzionalit�.
policy)
*necessita di una directory /dev statica (nota che il devfs � ormai in disuso)
clear
COLOR=$WHITE
msg=" Politiche ..."
echo -e "$COLOR$msg"
$IPT -nvL
##
## espande la politica di netfilter
## visualizzando le catene e informazioni sulle
echo -e "$NULL\n"
##


== Cos'� udev ==
exit 0


Udev � un programma in user space in grado ricevere le notifiche del sottosistema hotplug dei kernel 2.6. A partire dalla versione 0.070 � in grado di fare tutto quello che faceva hotplug per i kernel 2.4, ma � molto pi� veloce e leggero (� scritto in C). In pi� udev � in grado di creare dinamicamente i device file (quelli in <tt>/dev</tt>) per ogni periferica che viene rilevata nel sistema.
;;


Udev si appoggia unicamente al sysfs. Questo fatto ha il grande vantaggio di poter usufruire appieno della nuova e potente interfaccia di cui � stato dotato il kernel 2.6 (il sysfs, appunto) per la comunicazione tra i programmi in user space e i driver delle periferiche in kernel space, includendo nuove funzionalit� e migliore controllo sui driver stessi. L'unico svantaggio consiste nel fatto che non tutti i driver, al momento in cui si scrive, sono stati aggiornati per utilizzare il sysfs.
#*********************************************************Verifica Syn Flood
vsf)
clear
COLOR=$YELLOW
msg=" Syn Flood ..."
echo -e "$COLOR$msg"
echo ""
echo " Verifico se siamo in presenza di Syn Flood"
echo ""
echo " Oltre 20-30 tentativi di connessione da uno stesso"
echo " indirizzo, indicano un tentativo di flood, verificare comunque i Log"
echo " prima di attivare le contromisure"
##
netstat -npla | grep SYN_RECV
##
echo -e "$NULL\n"


Udev � un programma molto potente e flessibile che, occupandosi direttamente della creazione dei file di dispositivo (device file), permette un controllo molto accurato nella gestione degli stessi, dando la possibilit� all'amministratore di impostare in modo personalizzato tutti i loro attributi (nome, permessi, proprietario, ecc.)
exit 0
Tramite delle regole (udev rules) si possono assegnare nomi fissi a determinati dispositivi (a prescindere, ad esempio, dalla porta usata per collegare la periferica). Inoltre � possibile richiamare un certo programma/script non appena un dispositivo viene riconosciuto dal sistema.


Udev non si occupa tuttavia di caricare i moduli necessari al funzionamento del dispositivo, infatti questi <b>devono</b> essere gi� caricati per permettere ad udev di riconoscere la periferica e creare il corrispondente device file.
;;


Sulla stable ('''sarge''') udev � presente nella versione 0.056 e viene usato in accoppiata con hotplug, che si occupa di caricare i driver delle periferiche.
#****************************************************************USO
*)
##
clear
COLOR=$BLUE
msg="Firewall ver. $VERSION - Utilizzo: $NFILE {start|stop|router|info|policy|vsf|help}"
echo -e "$COLOR$msg$NULL\n"
##


In '''etch''' (attuale testing) e '''sid''' udev ha invece sostituito anche Hotplug.
exit 0
;;
##
esac
##
#*******************************************************BLOCCO COMUNE
##
echo -e "$COLOR"
## Caricamento dei moduli necessari nel kernel
##
## Il vostro kernel potrebbe non avere
## tutti questi moduli, e' sufficiente ricompilare se le funzionalita'
## sono necessarie.
##
## NOTA: I seguenti moduli sono elencati solo per informazione
## Non e' necessario inserirli manualmente nel kernel
## a meno di casi particolari.
##
# echo "Caricamento moduli..."
##
# modulo base
modprobe ip_tables
##
# modulo necessario alla stateful connection tracking
modprobe ip_conntrack
##
# modulo filter, permette di droppare rifiutare o loggare i pacchetti
modprobe iptable_filter
##
# modulo mangle
# modprobe iptable_mangle
##
# modulo nat
modprobe iptable_nat
##
# modulo LOG, permette di registrare i pacchetti bloccati in base alle catene
modprobe ipt_LOG
##
# modulo utilizzato per limitare il numero di pacchetti per sec/min/hr
##
modprobe ipt_limit
##
# modulo masquerade
modprobe ipt_MASQUERADE
##
# modulo owner
# modprobe ipt_owner
##
# REJECT respinge il pacchetto restituendo una risposta ICMP
# configurabile, il default � "connection refused".
# modprobe ipt_REJECT
##
# modulo mark, permette di marcare pacchetti sulla catena mangle
# modprobe ipt_mark
##
# questo modulo permette di modificare il TCP MSS
##
modprobe ipt_tcpmss
##
# questo modulo permette di indicare porte multiple
# modprobe multiport
##
# questo modulo consente controlli sui flags TCP
# modprobe ipt_state
##
# controlli su flags invalidi
# modprobe ipt_unclean
##
# supporto ftp non-PASV
# modprobe ip_nat_ftp
##
# modulo per full ftp connection tracking
# modprobe ip_conntrack_ftp
##
# modulo per full irc connection tracking
# modprobe ip_conntrack_irc
##
#################
## area kernel ##
#################
##
echo "$SET forwarding... "
echo "$CF" >/proc/sys/net/ipv4/ip_forward
##
echo "$SET syn-cookies (protezione syn-flood attacks)..."
echo "$SC" >/proc/sys/net/ipv4/tcp_syncookies
##
echo "Riduco il numero di possibili SYN Floods..."
echo "1024" >/proc/sys/net/ipv4/tcp_max_syn_backlog
##
##
echo "$SET ICMP echo-request su indirizzi broadcast (Smurf amplifier)..."
# Questi parametri servono ad ignorare ogni ICMP echo requests
# inviato da indirizzi broadcast. Serve a prevenire
# un gran numero di attacchi smurfs e DoS.
echo "$ER" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
##
# Contromisure contro attacchi DoS
# echo "Disabilito ICMP echo-request (usare solo se si � sotto attacco Dos)"
# echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all
# #sotto attacco syn incrementare il valore di tcp_max_syn_backlog e decrementare
# #il valore dei timeout_*
# echo "100" > /proc/sys/net/ipv4/vs/timeout_synack
# echo "10" > /proc/sys/net/ipv4/vs/timeout_synrecv
# echo "128" > /proc/sys/net/ipv4/tcp_max_syn_backlog
##
echo "$SET protezione defrag error... "
echo "$DE" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
##
echo "$SET time-wait assassination hazards in tcp (RFC 1337)..."
#echo "$TW" >/proc/sys/net/ipv4/tcp_rfc1337
##
echo "$SET sourcerouting and spoofing protection..."
for i in /proc/sys/net/ipv4/conf/*; do
##
echo "$SET politica per source-routed packets..."
# Questa politica e' usata per accettare o rifiutare pacchetti
# di tipo 'source routed'. E' attiva di default, ma � considerata
# un rischio per la sicurezza.
echo "$SR" >$i/accept_source_route
##
echo "$SET politica per ICMP Redirect accept/send..."
# Questa opzione disabilita la redirezione dei pacchetti ICMP.
# E' generalmente considerato un rischio per la sicurezza.
echo "$DR" >$i/accept_redirects
# Per questo motivo, e' preferibile accettare ICMP solo
# dal gateway di default (opzione secure_redirects).
echo "$ASR" >$i/send_redirects
echo "$SET secure ICMP redirects..."
echo "$ISR" >$i/secure_redirects
##
# echo "Disabilito Proxy ARP ..."
# # E' un'opzione utilizzata per la realizzazione di DMZ;
# # � disabilitata in quanto non rientra negli scopi di questo script.
# # per maggiorni info: http://www.sjdjweis.com/linux/proxyarp/
# echo "0" >$i/proxy_arp
##
echo "$SET source-address verification (prevent spoofing)..."
# Abilita i controlli previsti nel RFC1812.
# � raccomandato per sistemi basati su interfacce singole
# Disattivare se si hanno interfacce multiple collegate alla stessa rete.
# Questo controllo blocca i pacchetti che si presentano ad una interfaccia esterna
# con indirizzo forgiato per sembrare provenienti da interfaccia interna;
# il controllo e' comunque ripetuto in seguito.
echo "$SAV" >$i/rp_filter
##
done
##
echo "Applico settaggi controllo ..."
if [ -f /proc/sys/net/ipv4/icmp_destunreach_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_echoreply_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_paramprob_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_timeexceed_rate ]; then
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate
fi
##
echo "$SET il Log su spoofed, source routed e redirect packets..."
# Questa opzione serve a loggare i pacchetti provenienti da indirizzi impossibili.
echo "$LOG" >/proc/sys/net/ipv4/conf/all/log_martians
##
echo "$SET dynamic socket address rewriting..."
# Utile se si utilizza un indirizzo dinamico assegnato da DHCP.
echo "$DSR" > /proc/sys/net/ipv4/ip_dynaddr
##
echo "Setto porte locali ..."
echo "56000:65096" > /proc/sys/net/ipv4/ip_local_port_range
##
##
#################################
## inizio competenza iptables ##
#################################
##
echo "Azzero le chain..."
##
for y in filter nat mangle ; do
$IPT -t $y -F
$IPT -t $y -X
done
##
## politica per la tabella filter
$IPT -P INPUT $chain
$IPT -P OUTPUT $outchain
$IPT -P FORWARD DROP
#NOTA: FORWARD e' su DROP in quanto il controllo e' lasciato a altre regole
##
## politica per la tabella mangle
for m in PREROUTING OUTPUT ; do
$IPT -t mangle -P $m ACCEPT
done
##
echo "Genero catene utente ..."
$IPT -N chain-log
$IPT -A chain-log -j LOG --log-level info
# NOTA: Senza --log-level "info", si ha la scrittura dei log in ogni
# vty. E' un p� troppo ...
$IPT -A chain-log -j $chain
##
# # Dynamic Address
# # La richiesta di assegnazione dell'indirizzo � di tipo broadcast
# # la risposta potrebbe non essere accettata
# # questa dichiarazione abilita il DHCP
# $IPT -A INPUT -p UDP --source-port 67 --destination-port 68 -j ACCEPT
# # DHCPd - abilitare in presenza di DHCP interno
# #$IPT -A INPUT -i $IIF -p tcp --sport 68 --dport 67 -j ACCEPT
# #$IPT -A INPUT -i $IIF -p udp --sport 68 --dport 67 -j ACCEPT
##
##
echo "Accetto connessioni da $LOCALHOST , $SERVER , $CLIENT ..."
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IIF -s $CLIENT -j ACCEPT
$IPT -A INPUT -i $IIF -s $SERVER -j ACCEPT
# $IPT -A INPUT -i $IIF -s $LOCALNET -j ACCEPT
# $IPT -A OUTPUT -o lo -s $LOCALHOST -j ACCEPT
# $IPT -A OUTPUT -o lo -s $SERVER -j ACCEPT
##
echo "Controllo di sanita' dei pacchetti sulla tabella nat-PREROUTING..."
$IPT -t nat -A PREROUTING -i $EIF -s $LOCALNET -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $LOCALHOST -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $CLIENT -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $SERVER -j $chain
# # E' anche possibile bloccare e loggare tutti i pacchetti
# # provenienti da indirizzi privati (chiaramente forgiati per
# # tentare un'intrusione) e non solo quelli relativi a $LOCALNET
# # per una lista completa:
# # http://www.iana.org/assignments/ipv4-address-space
##
# # echo "Rifiuto pacchetti provenienti da indirizzi privati, multicast o riservati..."
##
# # NOTA - le variabili A_r,B_r,C_r,D_r devono essere dimensionate
# # leggendo le liste degli indirizzi da rifiutare (file esterno)
# # il metodo e' riportato , ma non e' implementato nessun controllo,
# # i pacchetti in ingresso sono comunque tutti droppati.
# # questo controllo potrebbe essere comunque comodo, ma non e'
# # nelle finalit� di questo script.
# # non
# for CL in A_r B_r C_r D_mc E_r ; do
# $IPT -A INPUT -i $EIF -s $CL -j chain-log
# done
##
# TCP & UDP
# Le porte standard sono elencate su:
# http://www.chebucto.ns.ca/~rakerman/port-table.html
# http://www.iana.org/assignments/port-numbers
##
echo "Accetto connessioni RELATED/ESTABLISHED..."
#in input
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Accetto ICMP type 0,3,11..."
## codici ICMP - RFC 792
## 0 Echo Reply
## 3 Destination Unreachable, il router non ha trovato la destinazione del pacchetto.
## 4 Source Quench
## 5 Redirect, il router informa l'host che ha spedito il pacchetto di un qualche errore
## 8 Echo, messaggio utile per sapere se un host � presente oppure no (utilizzato in Ping)
## 11 Time Exceeded
## 12 Parameter Problem, campo dell'header non valido
## 13 Timestamp
## 14 Timestamp Reply
## 15 Information Request
## 16 Information Reply
# Visitare: http://www.ee.siue.edu/~rwalden/networking/icmp.html
# per altre informazioni relative ai tipi ICMP.
for ic in 0 3 11 ; do
$IPT -A INPUT -i $EIF -p icmp --icmp-type $ic -j ACCEPT
done
##
# Decommentare se si desidera che il proprio sistema risponda ai ping
$IPT -A INPUT -i $EIF -p ICMP --icmp-type 8 -j $chain
# $IPT -A INPUT -i $EIF -p ICMP --icmp-type 8 -j ACCEPT
##
echo "Accetto ICMP dalla rete locale..."
$IPT -A INPUT -i $IIF -s $LOCALNET -p icmp -j ACCEPT
##
echo "Accetto DNS replays"
$IPT -A INPUT -i $EIF -p udp -s $DNS1 --sport 53 -j ACCEPT
$IPT -A INPUT -i $EIF -p udp -s $DNS2 --sport 53 -j ACCEPT
# $IPT -A INPUT -i IIF -p tcp -s $DNS3 --sport 53 -j ACCEPT
$IPT -A INPUT -p udp --sport 53 -j ACCEPT
# il dns 3 si intende come locale, per questo si accettano le connessioni tcp
# $IPT -A INPUT -i $EIF -p tcp -s $DNS1 --sport 53 -j ACCEPT
# $IPT -A INPUT -i $EIF -p tcp -s $DNS2 --sport 53 -j ACCEPT
##
echo "Blocco ogni pacchetto broadcast"
$IPT -A INPUT -p ALL -d 255.255.255.255 -j $chain
# $IPT -A INPUT -s 10.128.0.0/255.255.0.0 -j DROP
##
echo "Attivo SYN-FLOODING protection..."
$IPT -N SYN-FLOOD
$IPT -A INPUT -p tcp --syn -j SYN-FLOOD
$IPT -t filter -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j chain-log
##
# echo "Sperimentale..."
# #NOTA - e' disattivato in quanto potrebbe generare molti falsi positivi.
# $IPT -t nat -A PREROUTING -i $EIF -m unclean -j chain-log
##
echo "Blocco le scansioni Xmas tree, i pacchetti senza flag, i flag irregolari, le scansioni..."
##Blocco le scansioni Xmas tree
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j chain-log
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK -j chain-log
##
##Blocco i pacchetti senza flags
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j chain-log
##
##Blocco i pacchetti SYN+RST e SYN+FIN
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j chain-log
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j chain-log
##
##Blocco le scansioni FIN
$IPT -A INPUT -p tcp --tcp-flags FIN FIN -j chain-log
##
##Elimino pacchetti broadcast netbios
$IPT -A INPUT -p udp --dport 135:139 -j $chain
##
echo "Dirotto pacchetti NEW e INVALID verso CHAIN..."
$IPT -A INPUT -i $EIF -m state --state NEW,INVALID -j chain-log
$IPT -A INPUT -i $IIF -m state --state NEW,INVALID -j chain-log
##
##
##################################################################
## Servizi aperti all'esterno 'decommentare i servizi desiderati, attenzione!!' ##
##################################################################
##
# echo "Accetto connessioni su shell criptate dall'esterno..."
# $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
##
# echo "Accetto connessioni sendmail dall'esterno [pericoloso!!!]..."
# $IPT -A INPUT -p tcp --dport smtp -j ACCEPT
##
# echo "Accetto http e https dall'esterno [pericoloso!!]... "
# $IPT -A INPUT -p tcp -m multiport --destination-port 80,443 -j ACCEPT
##
# echo "Accetto POP3 dall'esterno [pericoloso!]..."
# $IPT -A INPUT -p tcp --sport 110 -j ACCEPT
##
# Questo esempio serve per usare il transparent proxy
# $IPT -t nat -A PREROUTING -p tcp -s $LOCALNET --destination-port 80 -j RETURN
# $IPT -t nat -A PREROUTING -p tcp -s $LOCALNET --destination-port 443 -j RETURN
# Redirezione HTTP
# $IPT -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
# Redirezione HTTPS
# $IPT -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports 3128


Questa guida � dedicata alla versione di udev attualmente in etch.
##
#######################
## regole in uscita ##
#######################
##
## abilita servizio DNS per protocolli UDP
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
##
## abilita la navigazione WEB ed il traffico HTTPS
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
##
## abilita il traffico FTP
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -o $EIF -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
##
## abilita le connessioni SMTP e POP3 in uscita
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# $IPT -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
##
## abilita connessioni SSH (SecureShell) con attivazione Log
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp --syn --dport 22 -m state --state NEW -j LOG --log-level info --log-prefix "---SSH from $EIF---"
# $IPT -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
##
# echo "Impedisco l'uscita di pacchetti netbios..."
# il traffico di questi pacchetti potrebbe attivare
# eventuali connessioni 'dial on demand' a internet.
# $IPT -A OUTPUT -p udp --destination-port 135:139 -j DROP
##
##
####################
## regole particolari ##
###################
##
##
##
# echo "Imposto le regole sulla tabella MANGLE..."
# # Setto il TTL su tutti i pacchetti in uscita a 128.
# # per nascondere la propria rete dietro al router,
# # convertire i pacchetti uscenti dalla LAN ad un TTL
# # uguale a quello dei pacchetti generati dal router.
# # TTL non e' inserito nelle versioni comunemente
# # distribuite (senza patch-o-matic)
# $IPT -t mangle -A FORWARD -o $EIF -j TTL --ttl-inc 1
##
echo "Risolvo il blocco derivante da ICMP fragmentation"
# Il target TCPMSS risolve i problemi di connessione derivanti da server
# che bloccano i pacchetti ICMP Fragmentation Needed.
# Tale blocco spesso blocca il trasferimento dati anche in presenza di connessioni stabilite.
$IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


== Il nuovo udev ==
##
#############################
## regole su FORWARD e nat ##
#############################
##
##
##
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EIF -m state --state NEW,INVALID -j $chain
$IPT -A FORWARD -o $EIF -j ACCEPT
echo "$MSET SNAT (MASQUERADE) su $EIF"
##
#usare su indirizzi dinamici (esempio connessioni dial-up)
$IPT -t nat -A POSTROUTING -o $EIF -j MASQUERADE
#usare solo su indirizzi statici
# $IPT -t nat -A POSTROUTING -o $EIF -j SNAT --to $EIP
##
##
###############
## fine del FW ##
###############
##
##
echo ""
echo "Da ora la politica per INPUT e' $chain"
echo "la politica per OUTPUT e' $outchain"
echo "IP forwarding e' settato su $fw "
echo ""
echo -e "$NULL\n"
##
netfilter
##
##The End..
</pre>


Dalla versione 0.070 in poi udev ha sostituito completamente hotplug. I driver delle periferiche rilevate vengono caricati tutti automaticamente durante il boot. Per fare un esempio, se al boot vengono trovate delle porte usb, verr� automaticamente caricato il modulo <tt>usb-storage</tt> che permetter� (tra le altre cose) di usare eventuali chiavette usb.
----
 
Autore: debian
Per usare questa versione di udev � necessario un kernel 2.6.12 o superiore con le opzioni hotplug (CONFIG_HOTPLUG) e tmpfs (CONFIG_TMPFS) attivate. Le opzioni CONFIG_PNP, CONFIG_ISAPNP, CONFIG_PNPBIOS e CONFIG_PNPACPI sono altamente raccomandate per consentire il caricamente automatico di importanti driver.
 
A partire dal kernel 2.6.15-rc1 � stata introdotta la nuova implementazione del driver model, la quale presenta nuove feature e una migliore organizzazione dei contenuti di sysfs. Per gestire correttamente i vari dispositivi � quindi obbligatorio dotarsi di una versione di udev pari o superiore alla 0.071.
 
Il pacchetto hotplug deve essere rimosso manualmente, anche se non dovrebbe creare problemi se restasse installato.
 
Si pu� disabilitare udev aggiungendo al boot il parametro del kernel <tt>UDEV_DISABLED=yes</tt> in grub o lilo. Alternativamente si pu� configurare in <tt>/etc/udev/udev.conf</tt> una directory diversa da <tt>/dev</tt> per la creazione dei device file.
 
== Come funziona udev ==
Quando un driver viene caricato, rende disponibili delle informazioni in <tt>/sys</tt> e udev viene eseguito per leggerle e creare il device file appropriato.
 
Quando si collega una nuova periferica viene generato un evento di hotplug che viene intercettato non pi� da <tt>/sbin/hotplug</tt> bens� da <tt>/sbin/udevsend</tt> (il gestore degli eventi hotplug � indicato in <tt>/proc/sys/kernel/hotplug</tt>).
 
Questo significa che:
* i moduli non possono essere caricati su richiesta quando un'applicazione cerca di aprire un suo dispositivo, perch� il dispositivo non c'� ancora!
 
* poich� i moduli non vengono caricati su richiesta, se per qualche motivo i driver non possono essere caricati automaticamente durante il boot, bisogner� aggiungerli ad /etc/modules (oppure usare modconf ;-)).
 
* alcuni moduli non sono dei driver di un dispositivo e non possono essere caricati automaticamente da udev, devono quindi essere elencati in /etc/modules anch'essi.
 
* alcuni driver non sono stati ancora portati su sysfs, e udev non sar� in grado di creare i loro device. Se si usa uno di questi driver � necessario creare il device dopo ogni boot.
 
In altre parole, su un tipico sistema si potrebbero dover caricare manualmente (usando /etc/modules) dei moduli come ppdev e tun.
== Da hotplug a udev ==
 
Nel passaggio da hotplug a udev i seguenti file di configurazione sono diventati obsoleti:
 
; <tt>/etc/hotplug/*.rc</tt> e <tt>*.agent</tt>: i vecchi file di hotplug non vengono pi� usati. Le regole di udev in <tt>/etc/udev/rules.d/</tt> possono essere usate per disabilitare selettivamente il coldplugging.
 
; <tt>/etc/hotplug/usb/*.usermap</tt>: devono essere sostituiti da regole udev.
 
; <tt>/etc/hotplug/blacklist*</tt>: dovrebbero essere sostituite da direttive di configurazione di modprobe (ma per adesso modprobe processer� <tt>/etc/hotplug/blacklist.d/</tt>).
 
Inoltre dalla versione 0.072:
 
* tutti i file in <tt>/etc/udev/scripts/</tt> e <tt>/lib/hotplug/</tt> e alcuni file in <tt>/sbin/</tt> sono stati spostati in <tt>/lib/udev/</tt>. Non dimenticate di aggiornare le regole personalizzate, se ne avete create.
 
== La directory <tt>/etc/udev/rules.d/</tt> ==
 
I file vengono letti e processati in ordine alfabetico, e le direttive contenute nelle regole vengono applicate in ordine. Le uniche eccezioni sono gli attributi NAME, di cui viene considerato solo il primo.
 
Poich� l'ordine � importante, alcuni di questi file hanno un nome particolare, per far s� che vengano letti prima o dopo di altri, e devono essere opportunamente considerati quando si aggiungono regole personalizzate.
 
Fino ad ora sono stati definiti:
 
; <tt>020_permissions.rules</tt>: imposta proprietario e permessi di default.
 
; <tt>z50_run.rules</tt>: viene eseguito <tt>$REMOVE_CMD</tt>, e successivamente l'elaborazione dei device tty viene fermato con <tt>last_rule</tt>.
 
; <tt>z70_hotplugd.rules</tt>: le opzioni di <tt>last_rule</tt> finiscono di processare gli eventi hotplug riguardanti "drivers" e "module" e vengono eseguiti i vecchi script in <tt>hotplug.d/</tt> e <tt>dev.d/</tt>.
 
E' fortemente sconsigliato di modificare i file nella directory <tt>/etc/udev/rules.d/</tt>, perch� il sistema di gestione dei pacchetti ([[Introduzione_all%27_Apt_System | APT]]) per default non aggiorna i file che vengono modificati dopo l'installazione.
 
Per aggiungere delle regole personalizzate per un device � sufficiente inserirle in un file <tt>/etc/udev/rules.d/00_local.rules</tt> creato da voi. Il nome del file assicura che esso venga letto per primo, e questo ci permette di inserire delle regole che varranno eseguite <b>al posto</b> di quelle di default per lo stesso device.
 
== Link ==
 
Altri link di approfondimento:
* [http://www.debian-administration.org/articles/126 Card Readers and USB keys using udev]
* [http://www.kernel.org/pub/linux/utils/kernel/hotplug/udev.html udev Homepage]
* [http://www.reactivated.net/udevrules.php Writing udev rules]

Versione delle 19:55, 26 nov 2005



Autore: debian