Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/Iptables"
Differenze tra le versioni 25 e 28 (in 3 versioni)
Versione 25 del 22/02/2022 17.38.49
Dimensione: 6849
Commento: +20.04 (Copia da Carlin0/Prove5)
Versione 28 del 22/04/2022 22.35.15
Dimensione: 6957
Autore: carlin0
Commento: Verificata 22.04
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 6: Linea 6:
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=442733"; rilasci="20.04";)>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=442733"; rilasci="22.04 20.04";)>>
Linea 10: Linea 10:
'''Iptables''' è il firewall, da linea di comando, installato in modo predefinito su Ubuntu fino alla versione '''20.04'''.<<BR>> '''Iptables''' è il firewall, da linea di comando, configurato in modo predefinito su Ubuntu fino alla versione '''20.04'''.<<BR>>
Linea 25: Linea 25:
I dati che entrano nel nostro computer dall'esterno possono essere di tipo normale e legittimo (ad esempio la pagina di un sito richiesta da un browser, un messaggio in chat ecc.) oppure di tipo malevolo (ad esempio un ''cracker'' che cerca di accedere ad un computer all'insaputa dell'utente in maniera fraudolenta).<<BR>>
Il compito del firewall è riconoscere il traffico "buono" da quello "cattivo", bloccando quest'ultimo. Per farlo, ha bisogno di essere opportunamente istruito, mediante delle regole che impostate sul traffico dati che stabiliscano cosa è "buono" e cosa è "cattivo".
I dati che entrano in un computer dall'esterno possono essere di tipo normale e legittimo (ad esempio la pagina di un sito richiesta da un browser, un messaggio in chat ecc.) oppure di tipo malevolo (ad esempio un ''cracker'' che cerca di accedere ad un computer all'insaputa dell'utente in maniera fraudolenta).<<BR>>
Il compito del firewall è riconoscere il traffico "buono" da quello "cattivo", bloccando quest'ultimo. Per farlo, ha bisogno di essere opportunamente istruito, mediante delle regole impostate sul traffico dati che stabiliscano cosa è "buono" e cosa è "cattivo".
Linea 28: Linea 28:
'''Iptables''' raggruppa tutti i controlli da eseguire sul traffico in entrata, nella cosiddetta ''Chain INPUT'', catena di input. I controlli sul traffico in uscita sono invece raggruppati nella ''Chain OUTPUT''. La ''Chain FORWARD'' serve, ad esempio, quando il traffico di dati non è indirizzato ad uno specifico computer, ma passa comunque attraverso quest'ultimo. '''Iptables''' raggruppa tutti i controlli da eseguire sul traffico in entrata, nella cosiddetta ''Chain INPUT'' (catena di input). I controlli sul traffico in uscita sono invece raggruppati nella ''Chain OUTPUT''. La ''Chain FORWARD'' serve, ad esempio, quando il traffico di dati non è indirizzato ad uno specifico computer, ma passa comunque attraverso quest'ultimo.
Linea 30: Linea 30:
Ognuna di queste catene ha una ''policy'', cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. Occorre però tenere conto che da impostazione predefinita viene accettato tutto il traffico dati. Ognuna di queste catene ha una ''policy'', cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. Occorre però tenere conto che da impostazione predefinita viene accettato l'intero traffico dati.
Linea 32: Linea 32:
= Selezione = = Selezione tra Iptables e Nftables =
Linea 34: Linea 34:
Per scegliere se usare '''Iptables''' o '''Nftables''' leggere la [[https://wiki.ubuntu-it.org/Sicurezza/Nftables#Selezione|relativa guida]]. Consultare la [[https://wiki.ubuntu-it.org/Sicurezza/Nftables#Selezione|relativa guida]].
Linea 45: Linea 45:
Qualora le informazioni mostrate non siano sufficienti, aggiungere le opzioni `-v` `--line-numbers -n`, come nell'esempio seguente: {{{ Qualora le informazioni mostrate non siano sufficienti, aggiungere le opzioni `-v` e/o `--line-numbers -n`, come negli esempi seguenti: {{{
Linea 49: Linea 49:

Per un elenco completo delle opzioni diigtare: {{{
man iptables
}}}
Linea 61: Linea 65:
 0. Impostare inoltre la seguente ''policy'': {{{  0. Impostare inoltre la seguente ''policy'', per bloccare il traffico che passa attraverso il computer: {{{


Guida verificata con Ubuntu: 20.04 22.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Iptables è il firewall, da linea di comando, configurato in modo predefinito su Ubuntu fino alla versione 20.04.
È un programma utilizzato in spazio utente usato per configurare l'insieme di regole di filtraggio dei pacchetti e del NAT di Linux. È pensato per gli amministratori di sistema.

Da Ubuntu 20.10 è stato sostituito da nftables. Tuttavia è ancora possibile usare Iptables.

Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Concetti di base

Un computer connesso a Internet scambia continuamente dati con il resto del mondo.

I dati che entrano in un computer dall'esterno possono essere di tipo normale e legittimo (ad esempio la pagina di un sito richiesta da un browser, un messaggio in chat ecc.) oppure di tipo malevolo (ad esempio un cracker che cerca di accedere ad un computer all'insaputa dell'utente in maniera fraudolenta).
Il compito del firewall è riconoscere il traffico "buono" da quello "cattivo", bloccando quest'ultimo. Per farlo, ha bisogno di essere opportunamente istruito, mediante delle regole impostate sul traffico dati che stabiliscano cosa è "buono" e cosa è "cattivo".

Iptables raggruppa tutti i controlli da eseguire sul traffico in entrata, nella cosiddetta Chain INPUT (catena di input). I controlli sul traffico in uscita sono invece raggruppati nella Chain OUTPUT. La Chain FORWARD serve, ad esempio, quando il traffico di dati non è indirizzato ad uno specifico computer, ma passa comunque attraverso quest'ultimo.

Ognuna di queste catene ha una policy, cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. Occorre però tenere conto che da impostazione predefinita viene accettato l'intero traffico dati.

Selezione tra Iptables e Nftables

Consultare la relativa guida.

Mostrare la configurazione attuale

Per controllare la configurazione di iptables digitare:

iptables -L

oppure:

iptables -S

Qualora le informazioni mostrate non siano sufficienti, aggiungere le opzioni -v e/o --line-numbers -n, come negli esempi seguenti:

iptables -L -v
iptables -L --line-numbers -n

Per un elenco completo delle opzioni diigtare:

man iptables

Esempio di impostazione di policy di base

Nel seguente esempio viene bloccato tutto il traffico in entrata per poi successivamente consentire il traffico desiderato e ritenuto non malevolo, infine abilitando delle determinate porte.

  1. Per impostare una policy che blocchi tutti i pacchetti in entrata digitare:

    iptables -P INPUT   DROP

    Questa policy, da sola, non permette l'utilizzo di normali funzionalità, come la navigazione web.

  2. Impostare inoltre la seguente policy, per bloccare il traffico che passa attraverso il computer:

    iptables -P FORWARD   DROP
  3. Per consentire tutto il traffico interno al computer, che passa per l'interfaccia di loopback "lo", digitare:

    iptables -A INPUT  -i lo -j ACCEPT
  4. Per consentire il traffico in entrata che è stato richiesto legittimamente (per permettere ad esempio la navigazione web) digitare:

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  5. Per permettere ad utenti esterni di contattare il PC e di inviare dati (ad esempio se è installato un server SSH, un server web o un programma che per essere eseguito deve fungere da server) è necessario consentire il traffico tcp sulla porta 22 (salvo diversa configurazione personalizzata). A tale scopo digitare:

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  6. Per consentire il traffico per il server web è necessario abilitare la porta 80 (salvo diversa configurazione personalizzata). A tale scopo digitare:

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Dopo questa procedura si avrà come risultato finale una configurazione che lascia uscire tutti i dati dal computer verso l'esterno ed entrare soltanto quelli richiesti:

iptables -L -v

Chain INPUT (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www 

Chain FORWARD (policy DROP)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT)
 pkts bytes target     prot opt in     out     source               destination  

Persistenza

Per rendere le regole impostate persistenti, ovvero fare in modo che vengano salvate e ricaricate al prossimo avvio:

  1. Installare il pacchetto iptables-persistent.

  2. Dopo aver impostato le regole digitare i seguenti due comandi:

    iptables-save > /etc/iptables/rules.v4
    ip6tables-save > /etc/iptables/rules.v6

Gestione semplificata

A seconda delle proprie esigenze può tornare comodo l'utilizzo di alcuni software che semplificano il settaggio di Iptables':

  • Ufw: strumento da terminale con comandi semplificati per le impostazioni di Iptables.

  • Gufw: interfaccia grafica per Ufw.

Ulteriori risorse


CategorySicurezza