Introduzione

Iptables è il firewall, da linea di comando, configurato in modo predefinito su Ubuntu fino alla versione 20.04.
È un programma utilizzato in spazio utente usato per configurare l'insieme di regole di filtraggio dei pacchetti e del NAT di Linux. È pensato per gli amministratori di sistema.

Da Ubuntu 20.10 è stato sostituito da nftables. Tuttavia è ancora possibile usare Iptables.

Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Concetti di base

Un computer connesso a Internet scambia continuamente dati con il resto del mondo.

I dati che entrano in un computer dall'esterno possono essere di tipo normale e legittimo (ad esempio la pagina di un sito richiesta da un browser, un messaggio in chat ecc.) oppure di tipo malevolo (ad esempio un cracker che cerca di accedere ad un computer all'insaputa dell'utente in maniera fraudolenta).
Il compito del firewall è riconoscere il traffico "buono" da quello "cattivo", bloccando quest'ultimo. Per farlo, ha bisogno di essere opportunamente istruito, mediante delle regole impostate sul traffico dati che stabiliscano cosa è "buono" e cosa è "cattivo".

Iptables raggruppa tutti i controlli da eseguire sul traffico in entrata, nella cosiddetta Chain INPUT (catena di input). I controlli sul traffico in uscita sono invece raggruppati nella Chain OUTPUT. La Chain FORWARD serve, ad esempio, quando il traffico di dati non è indirizzato ad uno specifico computer, ma passa comunque attraverso quest'ultimo.

Ognuna di queste catene ha una policy, cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. Occorre però tenere conto che da impostazione predefinita viene accettato l'intero traffico dati.

Selezione tra Iptables e Nftables

Consultare la relativa guida.

Mostrare la configurazione attuale

Per controllare la configurazione di iptables digitare:

iptables -L

oppure:

iptables -S

Qualora le informazioni mostrate non siano sufficienti, aggiungere le opzioni -v e/o --line-numbers -n, come negli esempi seguenti:

iptables -L -v
iptables -L --line-numbers -n

Per un elenco completo delle opzioni diigtare:

man iptables

Esempio di impostazione di policy di base

Nel seguente esempio viene bloccato tutto il traffico in entrata per poi successivamente consentire il traffico desiderato e ritenuto non malevolo, infine abilitando delle determinate porte.

Per impostare una policy che blocchi tutti i pacchetti in entrata digitare:
```
iptables -P INPUT   DROP
```
Questa policy, da sola, non permette l'utilizzo di normali funzionalità, come la navigazione web.
Impostare inoltre la seguente policy, per bloccare il traffico che passa attraverso il computer:
```
iptables -P FORWARD   DROP
```
Per consentire tutto il traffico interno al computer, che passa per l'interfaccia di loopback "lo", digitare:
```
iptables -A INPUT  -i lo -j ACCEPT
```
Per consentire il traffico in entrata che è stato richiesto legittimamente (per permettere ad esempio la navigazione web) digitare:
```
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```
Per permettere ad utenti esterni di contattare il PC e di inviare dati (ad esempio se è installato un server SSH, un server web o un programma che per essere eseguito deve fungere da server) è necessario consentire il traffico tcp sulla porta 22 (salvo diversa configurazione personalizzata). A tale scopo digitare:
```
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
```
Per consentire il traffico per il server web è necessario abilitare la porta 80 (salvo diversa configurazione personalizzata). A tale scopo digitare:
```
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
```

Dopo questa procedura si avrà come risultato finale una configurazione che lascia uscire tutti i dati dal computer verso l'esterno ed entrare soltanto quelli richiesti:

iptables -L -v

Chain INPUT (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www 

Chain FORWARD (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT)
 pkts bytes target     prot opt in     out     source               destination

Persistenza

Per rendere le regole impostate persistenti, ovvero fare in modo che vengano salvate e ricaricate al prossimo avvio:

Installare il pacchetto iptables-persistent.

Dopo aver impostato le regole digitare i seguenti due comandi:

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

Gestione semplificata

A seconda delle proprie esigenze può tornare comodo l'utilizzo di alcuni software che semplificano il settaggio di Iptables':

Ufw: strumento da terminale con comandi semplificati per le impostazioni di Iptables.
Gufw: interfaccia grafica per Ufw.

Ulteriori risorse

CategorySicurezza

-  ⇤ ← Versione 17 del 30/05/2011 15.53.43 → 
  Dimensione: 21064
  Autore: MatteoLazzari
  Commento: revisione importata da MarcoBuono/Prove4
+   ← Versione 28 del 22/04/2022 22.35.15 → ⇥
  Dimensione: 6957
  Autore: carlin0
  Commento: Verificata 22.04
-Le cancellazioni sono segnalate in questo modo.
+Le aggiunte sono segnalate in questo modo.
 Linea 1:
-## page was renamed from GuidaWiki/DocumentazioneModello
+## https://wiki.ubuntu-it.org/Sicurezza/Iptables
 Linea 5:
-<<Indice>>
<<Informazioni(forum="http://forum.ubuntu-it.org/index.php/topic,184837.0.html")>>
+<<Indice(depth=2 align=right)>>
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=442733"; rilasci="22.04 20.04";)>>
 Linea 8:
-<<BR>><<BR>><<BR>><<BR>><<BR>><<BR>>
-Linea 11:
+Linea 10:
-'''Iptables''' è un firewall, da linea di comando, installato in modo predefinito su '''Ubuntu'''. Quando si installa Ubuntu, anche iptables viene installato con le impostazioni di default che autorizzano tutto il traffico.
+'''Iptables''' è il firewall, da linea di comando, configurato in modo predefinito su Ubuntu fino alla versione '''20.04'''.<<BR>>
È un programma utilizzato in spazio utente usato per configurare l'insieme di regole di filtraggio dei pacchetti e del [[https://it.wikipedia.org/wiki/Network_address_translation|NAT]] di Linux. È pensato per gli amministratori di sistema.
 Linea 13:
-A partire da '''Ubuntu 8.04''' anche [[http://wiki.ubuntu-it.org/Sicurezza/Ufw|Ufw]] viene installato di default. Si tratta di un applicazione che consente di semplificare la configurazione di iptables.
+{{{#!wiki note
Da '''Ubuntu 20.10''' è stato sostituito da [[Sicurezza/Nftables|nftables]]. Tuttavia è ancora possibile usare '''Iptables'''.
}}}

{{{#!wiki important
Tutti i comandi citati in questa pagina vanno digitati nel [[AmministrazioneSistema/Terminale|terminale]] con i [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] .
}}}

== Concetti di base ==

Un computer connesso a Internet scambia continuamente dati con il resto del mondo.

I dati che entrano in un computer dall'esterno possono essere di tipo normale e legittimo (ad esempio la pagina di un sito richiesta da un browser, un messaggio in chat ecc.) oppure di tipo malevolo (ad esempio un ''cracker'' che cerca di accedere ad un computer all'insaputa dell'utente in maniera fraudolenta).<<BR>>
Il compito del firewall è riconoscere il traffico "buono" da quello "cattivo", bloccando quest'ultimo. Per farlo, ha bisogno di essere opportunamente istruito, mediante delle regole impostate sul traffico dati che stabiliscano cosa è "buono" e cosa è "cattivo".

'''Iptables''' raggruppa tutti i controlli da eseguire sul traffico in entrata, nella cosiddetta ''Chain INPUT'' (catena di input). I controlli sul traffico in uscita sono invece raggruppati nella ''Chain OUTPUT''. La ''Chain FORWARD'' serve, ad esempio, quando il traffico di dati non è indirizzato ad uno specifico computer, ma passa comunque attraverso quest'ultimo.

Ognuna di queste catene ha una ''policy'', cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. Occorre però tenere conto che da impostazione predefinita viene accettato l'intero traffico dati.

= Selezione tra Iptables e Nftables =

Consultare la [[https://wiki.ubuntu-it.org/Sicurezza/Nftables#Selezione|relativa guida]].
-Linea 17:
+Linea 38:
- * Per visualizzare la configurazione del firewall, è sufficiente digitare il seguente comando in una finestra di terminale:{{{ 
sudo iptables -L
+Per controllare la configurazione di '''iptables''' digitare:{{{ 
iptables -L
-Linea 20:
+Linea 41:
- * Per esempio, con Ubuntu appena installato, il firewall è sì attivo, ma non ha ancora una vera configurazione, perciò l'output dovrebbe essere: {{{
Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination
+oppure: {{{
iptables -S
-Linea 34:
+Linea 45:
-In modo predefinito il firewall lascia passare tutto, come indicano le scritte "''policy ACCEPT''" e l'assenza di altre regole. A volte le informazioni mostrate non sono sufficienti; in questi casi basta aggiungere '''-v''' oppure '''-vv''' al precedente comando. Per esempio: {{{
sudo iptables -vv -L
+Qualora le informazioni mostrate non siano sufficienti, aggiungere le opzioni `-v` e/o `--line-numbers -n`, come negli esempi seguenti: {{{
iptables -L -v
iptables -L --line-numbers -n
-Linea 38:
+Linea 50:
-= Opzioni di base =
+Per un elenco completo delle opzioni diigtare: {{{
man iptables
}}}
-Linea 40:
+Linea 54:
-Di seguito, verranno riportate alcune delle opzioni di iptables per meglio comprendere la sintassi riportata successivamente.
+= Esempio di impostazione di policy di base =
-Linea 42:
+Linea 56:
- * A - '''Append''' Appende (allega) questa regola alla lista delle regole. Le liste di regole valide per ciò che stiamo facendo sono INPUT, FORWARD and OUTPUT, ma in questo tutorial si tratterà l'INPUT che regolerà solo il traffico in entrata.
 * -L - '''List''' elencherà in una lista le attuali regole di filtraggio.
 * -m conntrack - Permette di filtrare le regole per abbinarle in base allo stato di connessione. Consente l'uso dell'opzione - ctstate.
 * --ctstate - Definisce l'elenco degli stati per la regola da soddisfare. Gli stati validi sono:
  * NEW - La connessione non è stata ancora visualizzata.
  * RELATED - La connessione è nuova, Ma è in relazione con un'altra attualmente permessa.
  * ESTABLISHED - La connessione è tuttora stabilita.
  * INVALID - Il traffico non può essere identificato per qualche ragione. 
 * -m limit - Richiede quale regola deve essere soddisfatta solo un numero limitato di volte. Permette l'uso dell'opzione --limit. Utile per limitare le regole di registrazione.
  * --limit - Il tasso massimo di corrispondenza, dato come un numero seguito da "/second", "/minute", "/hour", or "/day" in base a quanto si desidera che la regola sia soddisfatta. Se questa opzione non viene utilizzata mentre si usa "-m limit", il valore di default è "3/hour". 
 * -p - Il protocollo utilizzato per la connessione.
 * --dport - La porta di destinazione richiesta per questa regola. Può essere indicata una porta singola oppure un intervallo di porte come "portastart:portaend", che prenderà in considerazione tutte le porte da 'portastart' a 'portaend' comprese.
 * j - Salta al target specificato. Per default, iptables permette quattro target:
  * ACCEPT - Accetta il pacchetto e blocca le regole in questa lista.
  * REJECT - Rigetta il pacchetto e notifica a chi sta inviando i dati che si è proceduto al blocco, nonchè blocca le regole in vigore in questa lista.
  * DROP - Ignora silenziosamente il pacchetto e blocca le regole in vigore in questa lista.
  * LOG - Logga il pacchetto, e continua a processare più regole nella lista. Permette l'uso delle opzioni --log-prefix e --log-level. 
 * --log-prefix - Durante il log, inserire questo testo prima del messaggio di log. Usare il 'double quotes' sul testo da usare.
 * --log-level - Loggarsi usando il livello 'syslog' specificato. 7 è una buona scelta finchè non si avrà specificatamente bisogno di qualcos'altro.
 * -i - Soddisfatta solo se un pacchetto sta entrando verso la periferica specificata.
 * -I - Inserisce una regola. Desidera solo due opzioni, la lista dove inserirla e il numero che la regola avrà nella lista.
  * -I INPUT 5 dovrebbe inserire la regola all'interno della lista di regole INPUT nella quinta posizione. 
 * -v - Visualizza più informazioni nel rapporto. Utile per visualizzare se si hanno regole che appaiono molto simili senza l'uso dell'opzione in questione.
 * -s --source - indirizzo[/mask] 'specifica sorgente'
 * -d --destination - indirizzo[/mask] 'specifica destinazione'
 * -o --out-interface - output name[+] interfaccia di rete name ([+] per carattere jolly)
+Nel seguente esempio viene bloccato tutto il traffico in entrata per poi successivamente consentire il traffico desiderato e ritenuto non malevolo, infine abilitando delle determinate porte.
-Linea 69:
+Linea 58:
-= Consentire sessioni già stabilite =

 * Si possono autorizzare connessioni già stabilite a ricevere traffico: {{{
# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
+. Per impostare una ''policy'' che blocchi tutti i pacchetti in entrata digitare: {{{
iptables -P INPUT   DROP
-Linea 74:
+Linea 61:
- * La regola qui sopra non ha spazi su entrambi i lati della virgola tra ESTABLISHED,RELATED 

 * Se la linea qui sopra non funziona, si potrebbe essere su un VPS che usa OpenVZ oppure non si hanno installate alcune estensioni del kernel. In quel caso, provare questo comando: {{{
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+ {{{#!wiki note
Questa policy, da sola, non permette l'utilizzo di normali funzionalità, come la navigazione web.
-Linea 80:
+Linea 65:
-= Autorizzare il traffico in entrata su porte specifiche =

Si potrebbe iniziare bloccando il traffico, ma si potrebbe aver bisogno di lavorare su SSH, e quindi si potrebbe aver bisogno di consentire il SSH prima di bloccare tutto il resto.

 * Per consentire il traffico in ingresso sulla porta di default SSH (22), si potrebbe comunicare a iptables di consentire tutto il traffico TCP in ingresso su quella porta: {{{
   iptables -A INPUT -p tcp --dport ssh -j ACCEPT
+. Impostare inoltre la seguente ''policy'', per bloccare il traffico che passa attraverso il computer: {{{
iptables -P FORWARD   DROP
-Linea 88:
+Linea 69:
-Facendo riferimento alla lista qui sopra, si può notare che il comando dice a iptables:
 * aggiungi questa regola alla catena input (-A INPUT) in modo da guardare il traffico in entrata
 * controlla per verificare se è di tipo TCP (-p tcp).
 * in caso affermativo, verificare se l'input punta alla porta SSH (- dport ssh).
 * in caso affermativo, accettare l'input (-j ACCEPT).

Si controllino allora le regole: (Qui sotto vengono mostrate solo le prime righe, ma il report mostrerà di più) {{{
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
+. Per consentire tutto il traffico interno al computer, che passa per l'interfaccia di ''loopback'' "'''lo'''", digitare: {{{
iptables -A INPUT  -i lo -j ACCEPT
-Linea 102:
+Linea 73:
-Ora, si autorizzi il traffico in entrata nella rete {{{
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
+. Per consentire il traffico in entrata che è stato richiesto legittimamente (per permettere ad esempio la navigazione web) digitare: {{{
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
}}}
 
 0. Per permettere ad utenti esterni di contattare il PC e di inviare dati (ad esempio se è installato un [[InternetRete/ConfigurazioneRete/OpenSsh|server SSH]], un [[Server/Web|server web]] o un programma che per essere eseguito deve fungere da server) è necessario consentire il traffico ''tcp'' sulla porta 22 (salvo diversa configurazione personalizzata). A tale scopo digitare:{{{
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
-Linea 106:
+Linea 81:
-Controllando le regole, si avrà {{{
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
+. Per consentire il traffico per il server web è necessario abilitare la porta 80 (salvo diversa configurazione personalizzata). A tale scopo digitare:{{{
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
-Linea 115:
+Linea 85:
-Abbiamo specificatamente consentito il traffico TCP verso le porte ssh e web, ma poiché non abbiamo bloccato niente, tutto il traffico può ancora entrare

= Bloccare il traffico =

Una volta che si è deciso di accettare un pacchetto, le regole non incidono più su di esso. Visto che le regole che consentono il traffico ssh e web sono inserite prima di altre, e dato che la regola per bloccare tutto il traffico viene dopo di loro, si può ancora accettare il traffico che si vuole. Tutto quello che dobbiamo fare è inserire la regola per bloccare tutto il traffico alla fine.

{{{
# iptables -A INPUT -j DROP
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
DROP       all  --  anywhere             anywhere
}}}

Visto che non si è specificato un'interfaccia o un protocollo, qualsiasi tipo di traffico per ogni porta su qualsiasi interfaccia è bloccata, tranne che per il web e ssh.

= Modificare iptables =

L'unico problema del setup appena implementato è che anche la porta di loopback è bloccata. Abbiamo potuto scrivere la regola 'drop' solo per eth0 specificando '-i eth0', ma potremmo anche aggiungere una regola per il loopback. Se vogliamo aggiungere questa regola sarà ormai troppo tardi perchè tutto il traffico è stato 'droppato'. Si deve quindi inserire prima questa regola. Visto che questo è una grossa quantità di traffico, si inserirà questa come prima regola affinchè venga processata per prima. {{{
# iptables -I INPUT 1 -i lo -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
DROP       all  --  anywhere             anywhere
}}}

Le prime linee e le ultime si assomigliano, quindi dovremo vedere la lista di iptables con maggiore dettaglio. {{{
# iptables -L -v
+Dopo questa procedura si avrà come risultato finale una configurazione che lascia uscire tutti i dati dal computer verso l'esterno ed entrare soltanto quelli richiesti:{{{
iptables -L -v
-Linea 153:
+Linea 90:
-Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
+Chain INPUT (policy DROP)
-Linea 155:
+Linea 92:
-0 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www
    0     0 DROP       all  --  any    any     anywhere             anywhere
+0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www   Chain FORWARD (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT)
 pkts bytes target     prot opt in     out     source               destination
-Linea 162:
+Linea 104:
-Ora è possibile vedere molte più informazioni. Questa regola è in realtà molto importante, dal momento che molti programmi utilizzano l'interfaccia di loopback per comunicare tra loro. Se non si consente loro di parlare, si potrebbe interrompere quei programmi!
+= Persistenza =
-Linea 164:
+Linea 106:
-= Registrazione =
+Per rendere le regole impostate ''persistenti'', ovvero fare in modo che vengano salvate e ricaricate al prossimo avvio:
-Linea 166:
+Linea 108:
-Nessuno degli esempi di traffico riportati sopra verrà registrato. Se si desidera registrare i pacchetti 'droppati' su syslog, questo è il modo più rapido:

{{{
# iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
+. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://iptables-persistent|iptables-persistent]].
 0. Dopo aver impostato le regole digitare i seguenti due comandi: {{{
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
-Linea 172:
+Linea 114:
-Si veda la sezione Suggerimenti per maggiori consigli sulla registrazione.
+= Gestione semplificata =
-Linea 174:
+Linea 116:
-= Salvataggio di IPTables =

Se si dovesse riavviare la macchina in questo momento, la configurazione di iptables sparirebbe. Invece, se si vuole che ad ogni riavvio si mantengano queste configurazioni, si dovrà salvare la configurazione. Per salvarla, è possibile utilizzare 'iptables-save' e 'iptables-restore'.

== Configurazione all'avvio ==

{{{
ATTENZIONE: Iptables e NetworkManager potrebbero essere in conflitto. Se siete preoccupati abbastanza per la sicurezza per installare un firewall, potreste non vuole fidarsi NetworkManager per la gestione di esso ancora. Si noti inoltre NetworkManager e iptables hanno obiettivi opposti. Iptables mira a conservare qualsiasi dubbio il traffico di rete. NetworkManager mira ad essere sempre connessi in ogni momento. Pertanto, se si vuole la sicurezza per tutto il tempo, eseguire iptables al boot. Se si desidera che la sicurezza parte del tempo poi NetworkManager potrebbe essere la scelta giusta.
}}}

{{{
ATTENZIONE: Se si utilizza NetworkManager (installato di default su Feisty e versioni successive) questi passaggi vi lascerà in grado di utilizzare NetworkManager per le interfacce si modificano. Si prega di attenersi alla procedura descritta nella sezione successiva, invece.
}}}

{{{
NOTA: Sembra in Hardy, NetworkManager ha un problema con correttamente sul salvataggio e il ripristino delle regole iptable quando si utilizza il metodo nella sezione successiva. L'utilizzo di questo primo metodo sembra funzionare. Se trovate in caso contrario, si prega di aggiornare questa nota.
}}}


Salvare le regole del firewall in un file
{{{
# sudo bash -c "iptables-save > /etc/iptables.rules"
}}} 

Ora si hanno molte opzioni. Si possono fare modifiche a '/etc/network/interfaces' o aggiungere uno script a '/etc/network/if-pre-up.d/' e '/etc/network/if-post-down.d/' per ottenere risultati simili. La soluzione dello script permette una flessibilità leggermente maggiore. 

== Soluzione #1 - /etc/network/interfaces ==


(NB: si sono seguite le istruzioni in questa sezione e questo ha disabilitato la maggior parte (o tutti) degli script in '/etc/rc2.d /: Polipo, dnsmasq, bluetooth, ecc; Consiglia di utilizzare ufw/gufw.)

Modificare il file di configurazione di interfacce '/etc/network/'  per applicare le regole automaticamente. È necessario conoscere l'interfaccia che si sta utilizzando, al fine di applicare le regole - se non la si conosce, probabilmente si sta utilizzando l'interfaccia eth0, anche se si dovrebbe verificare con il seguente comando per vedere se ci sono delle schede wireless:
{{{
  iwconfig
}}}

Se si ottiene un output simile al seguente, allora non avete schede wireless e molto probabilmente state usanto eth0.

{{{
$ iwconfig

lo        no wireless extensions.

eth0      no wireless extensions.

$
}}}

Quando si conosce l'interfaccia che si sta utilizzando, aprire il file '/etc/network/interfaces' e a seconda della distribuzione o dell'editor in uso si dovràc digitare:

{{{
# nano /etc/network/interfaces
}}}

Per Ubuntu e Xubuntu, premere alt+F2, e successivamente nella finestra che appare, scrivere:
{{{
gksudo gedit /etc/network/interfaces
}}}
e premere Enter.

Per Kubuntu: premere Alt+F2, successivamente nella finestra che compare scrivere:

{{{
kdesu kate /etc/network/interfaces
}}}
poi premere Enter.

Una volta all'interno del file, ricercare l'interfaccia che si è trovata, e alla fine delle righe relative alla rete per l'interfaccia, aggiungere la riga:
{{{
pre-up iptables-restore < /etc/iptables.rules
}}}

È anche possibile preparare una serie di regole secondarie, salvarli in secondo file '/etc/iptables.downrules' e si applicheranno automaticamente utilizzando la procedura di cui sopra:
{{{
post-down iptables-restore < /etc/iptables.downrules
}}}

Un esempio completo e funzionante utilizzando entrambe le soluzioni sopra:


{{{
auto eth0
iface eth0 inet dhcp
  pre-up iptables-restore < /etc/iptables.rules
  post-down iptables-restore < /etc/iptables.downrules
}}}

Si consiglia inoltre di conservare le informazioni provenienti dai contatori di byte e pacchetti.

{{{
iptables-save -c > /etc/iptables.rules 
}}}

Il comando sopra salverà l'intero set di regole in un file chiamato '/etc/iptables.rules' con i contatori byte e dei pacchetti ancora intatta.

== Soluzione #2 /etc/network/if-pre-up.d and ../if-post-down.d ==

NOTA: Questa soluzione utilizza 'iptables-save -c' per salvare i contatori. Basta togliere l'opzione '-c' per salvare solo le regole.

In alternativa si potrebbe aggiungere 'iptables-restore' e 'iptables-save' per le directory 'if-pre-up.d' e 'if-post-down.d' nella directory '/etc/network' invece di modificare direttamente la '/etc/network/interface'.

Lo script '/etc/network/if-pre-up.d/iptablesload' conterrà:

{{{
#!/bin/sh
iptables-restore < /etc/iptables.rules
exit 0
}}}

e '/etc/network/if-post-down.d/iptablessave' conterrà:

{{{
#!/bin/sh
iptables-save -c > /etc/iptables.rules
if [ -f /etc/iptables.downrules ]; then
   iptables-restore < /etc/iptables.downrules
fi
exit 0
}}} 

Assicurarsi di dare ad entrambi gli script i permessi di esecuzione:

{{{
# chmod +x /etc/network/if-post-down.d/iptablessave
# chmod +x /etc/network/if-pre-up.d/iptablesload
}}} 


== Configurazione all'avvio di NetworkManager ==

[[http://wiki.ubuntu-it.org/InternetRete/ConfigurazioneRete/NetworkManager|NetworkManager]] include la possibilità di eseguire script quando si attiva o disattiva un'interfaccia. Per salvare le regole iptables allo spegnimento del computer e per ripristinarle all'avvio si dovrà creare uno script di questo tipo.
Per iniziare, premete Alt + F2 e digitare il seguente comando:

Per Ubuntu:
{{{
$ gksudo gedit /etc/NetworkManager/dispatcher.d/01firewall
}}}

Per Kubuntu:
{{{
kdesu kate /etc/NetworkManager/dispatcher.d/01firewall
}}}

Quindi incollare questo script nel vostro editor, salvare e uscire dall'editor.

{{{
if [ -x /usr/bin/logger ]; then
        LOGGER="/usr/bin/logger -s -p daemon.info -t FirewallHandler"
else
        LOGGER=echo
fi

case "$2" in
        up)
                if [ ! -r /etc/iptables.rules ]; then
                        ${LOGGER} "No iptables rules exist to restore."
                        return
                fi
                if [ ! -x /sbin/iptables-restore ]; then
                        ${LOGGER} "No program exists to restore iptables rules."
                        return
                fi
                ${LOGGER} "Restoring iptables rules"
                /sbin/iptables-restore -c < /etc/iptables.rules
                ;;
        down)
                if [ ! -x /sbin/iptables-save ]; then
                        ${LOGGER} "No program exists to save iptables rules."
                        return
                fi
                ${LOGGER} "Saving iptables rules."
                /sbin/iptables-save -c > /etc/iptables.rules
                ;;
        *)
                ;;
esac
}}}

Infine, bisogna assicurarsi che NetworkManager sia in grado di eseguire questo script.
In una finestra di terminale, digitare il seguente comando:

{{{
# chmod +x /etc/NetworkManager/dispatcher.d/01firewall
}}}

= Consigli =

== Modifica manuale di iptables con regole di base ==

I passaggi sopra descritti vanno oltre la configurazione di regole del firewall che probabilmente saranno relativamente statiche.
Ma se si fa un sacco di lavoro di sviluppo, è possibile che si abbia bisogno di salvare le regole di iptables ad ogni riavvio.
Si potrebbe aggiungere una linea simile a questa in '/etc/network/interfaces':

{{{
  pre-up iptables-restore < /etc/iptables.rules
  post-down iptables-save > /etc/iptables.rules
}}}

La linea "post-down iptables-save> /etc/iptables.rules" salverà le regole da utilizzare per il prossimo avvio.


== Utilizzare iptables-save/restore per testare le regole ==

Se si modifica iptables al di là di questa esercitazione è possibile utilizzare la caratteristica 'iptables-save' e 'iptables-restore' per modificare e testare le regole.
Per fare questo aprire il file di regole nel vostro editor di testo preferito (in questo esempio gedit).

{{{
$ sudo iptables-save > /etc/iptables.rules
$ gksudo gedit /etc/iptables.rules
}}}

Si avrà un file simile a:

{{{
# Generated by iptables-save v1.3.1 on Sun Apr 23 06:19:53 2006
*filter
:INPUT ACCEPT [368:102354]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [92952:20764374]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
COMMIT
# Completed on Sun Apr 23 06:19:53 2006
}}}

Notare che questi sono i comandi di iptables senza il comando 'iptable'. Ci si sentaliberi di modificarlo nel file e salvarlo. Poi per eseguire i test:

{{{
# iptables-restore < /etc/iptables.rules
}}}

NOTA: Con iptables 1.4.1.1-1 e successivi, uno script consente di testare le nuove regole senza rischiare nulla sul server remoto. Se si applicano le regole su un server remoto, è necessario considerare i test con:

{{{
# iptables-apply /etc/iptables.rules
}}}

Dopo la prova, se non si è aggiunto il comando 'iptables-save' nel file '/etc/network/interfaces' ricordarsi di non perdere le modifiche:

{{{
# iptables-save > /etc/iptables.rules
}}}
+A seconda delle proprie esigenze può tornare comodo l'utilizzo di alcuni software che semplificano il settaggio di '''Iptables'''':
 * '''[[http://wiki.ubuntu-it.org/Sicurezza/Ufw|Ufw]]''': strumento da [[AmministrazioneSistema/Terminale|terminale]] con comandi semplificati per le impostazioni di Iptables.
 * '''[[http://wiki.ubuntu-it.org/Sicurezza/Gufw|Gufw]]''': interfaccia grafica per '''Ufw'''.
-Linea 423:
+Linea 121:
- * [[https://help.ubuntu.com/community/IptablesHowTo|Documento originale]]
 * [[http://wiki.ubuntu-it.org/Sicurezza/Ufw|Ufw]]
 * [[http://wiki.ubuntu-it.org/Sicurezza/Gufw|Gufw]]
 * [[http://wiki.ubuntu-it.org/Sicurezza/Firestarter|Firestarter]]
 * [[http://www.frozentux.net/documents/iptables-tutorial/|Guida a Iptables]]
 * [[http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html|How-To per Iptables]]
 * [[http://www.netfilter.org/documentation/|Documentazione in varie lingua per Netfilter e Iptables]]
+ * [[http://www.netfilter.org/documentation/|Documentazione per Netfilter e Iptables]]
 * [[https://www.digitalocean.com/community/tutorials/iptables-essentials-common-firewall-rules-and-commands|How to per Iptables]]
 * [[https://wiki.archlinux.org/title/iptables|Wiki di Archlinux]]
 * [[https://guide.debianizzati.org/index.php/Debian_e_iptables|Guida debianizzati]]
 * [[https://iptablesgenerator.totalbits.com|Generatore di regole per iptables]]
-Linea 432:
+Linea 129:
 CategorySicurezza