Firestarter - pusty events log, niemożność dodania regułki

[krzaczor93]

Witam,
Mam mały problem. Mianowicie zainstalowałem Firestarter i podstawowo go skonfigurowałem (kreatorem). Chciałbym dodać regułkę w zakładce Policy, jednak jest to niemożliwe. Przycisku "Add rule" jak i innych nie da się kliknąć. Co zrobić?
Jeżeli to ma jakieś znaczenie to mój Internet to iPlus a system - Ubuntu 8.10 (niestety nie wiem ile bitów - jak to sprawdzić?).

Pozdrawiam

[jacekalex]

Sprawdzanie systemu - architektura:

Kod: Zaznacz cały

uname -m

.

Firestartera radzę - przeinstalować (wywalić i zainstalować jeszcze raz) - jeśli to nie pomoże - wywalić poleceniem

Kod: Zaznacz cały

sudo apt-get remove --purge firestarter

i skonfigurować iptables samodzielnie.

Nie święci garnki lepią.
np: viewtopic.php?t=43258

Pozdrawiam

[krzaczor93]

Tak jak radził jacekalex: skasowałem Firestarter'a i wrzuciłem skrypt nightwisha86. Jednak po przeprowadzeniu Quick testu dalej wyświetla mi się "Danger" przy "Browser privacy check". Gdy zrobiłem dogłębne skanowanie przeglądarki test wykazał, że przeglądarka nie udostępniła moich danych prywatnych. Zapisuje jednak specjalne pliki cookies na dysku. Zalecane: instalacja firewalla lub programu antyspyware. Co robić?

Wynik stealth testu:

TCP "ping" stealthed
TCP NULL stealthed
TCP FIN stealthed
TCP XMAS stealthed
UDP stealthed

Wynik skanera portów (zaawansowanego - tryb skanowania najczęściej wybieranych przez hakerów portów):

21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
135 stealthed RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans
934 stealthed n/a n/a
2051 stealthed n/a n/a
14254 stealthed n/a n/a
16404 stealthed n/a n/a
29316 stealthed n/a n/a
32209 stealthed n/a n/a

Czyli tak jakby wszystko ok?

[jacekalex]

A czy dałeś temu skryptowi do firewalla atrybut wykonania (chomd 500 lub 7500 i właściciela pliku root?)

Najlepiej wsadź skrypt do folderu /etc/network/if-up.d - jeśli masz neta przez interfejs sieciowy lub /etc/ppp/if-up.d - jeśli modem usb -
potem

Kod: Zaznacz cały

chmod 700 /ścieżka-do-skryptu/skrypt

Do środka wsadź reguły firewalla i po sprawie.
Ja w tej chwili mam taki skrypt- używam u siebie:

Kod: Zaznacz cały

#!/bin/bash

sudo echo " Uruchamiam firewalla............................................."


sudo echo "# ignorowanie ICMP sudo echo request wysylanych na adres rozgloszeniowy"

sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

sudo echo "128" >> /proc/sys/net/ipv4/ip_default_ttl

sudo echo "# ochrona przed SYN flood"

sudo echo "1" > /proc/sys/net/ipv4/tcp_syncookies


sudo echo "# refuse source routed packets" 

sudo echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route


sudo echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
sudo echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

sudo echo "# logowanie pakietow z nieprawidlowych adresow "

sudo echo "1"> /proc/sys/net/ipv4/conf/all/log_martians

sudo echo "# Konfigurowanie zapory..................................................."

sudo echo "# Czyszczenie tablic......................................................"




sudo iptables -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t nat -F
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -I OUTPUT -j ACCEPT
sudo iptables -I INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A FORWARD -o lo -j ACCEPT
sudo iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
sudo iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
sudo iptables -A INPUT -p udp  -f -i ! lo -j DROP

sudo iptables -A INPUT -p tcp -i eth0 -m state --state NEW -j REJECT --reject-with tcp-reset

sudo iptables -A INPUT -p udp -i eth0 -m state --state NEW -j REJECT --reject-with icmp-host-unreachable

sudo iptables -A INPUT -p tcp -i eth1 -m state --state NEW -j REJECT --reject-with tcp-reset

sudo iptables -A INPUT -p udp -i eth1 -m state --state NEW -j REJECT --reject-with icmp-host-unreachable

sudo echo "# Konfiguracja reguł gotowa.................................................."

Potem restart sieci

Kod: Zaznacz cały

/etc/init.d/networking restart

Na ekranie zobaczysz komunikaty z konfigu firewalla i gotowe.

Sprawdzić możesz np. tym skanerem: http://www.upseros.com/portscan.php
albo tym:http://www.hackerwatch.org/probe/hitme.asp
Natomiast test przez localhosta zawsze pokaże otwarte porty bo to pętla wewnętrzna - interfejs wirtualny - którym komunikują się programy.
I nie ośmieszaj się.

W sieci i na tym forum jest chyba ze 2000 porad i dokumentów, a także link do generatora gotowych skryptów.

Wystarczy poszukać

Pozdrawiam

[krzaczor93]

Nie no spoko pierwszy raz się bawię iptables
Trochę łapię. Niewiele, ale poczytam jeszcze kilka poradników i myślę, że załapię całkowicie

Tymczasem zrobiłem sobie prosty skrypcik (na razie w oparciu o Twój). Co poprawić?

#!/bin/sh
echo "Uruchamianie IPTables..."
sudo echo "1" > /proc/sys/net/ipv4/tcp_syncookies
sudo echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
sudo echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
sudo echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
sudo echo "1"> /proc/sys/net/ipv4/conf/all/log_martians

echo "Konfigurowanie..."
echo "Czyszczenie tablic..."
echo "Tworzenie reguł..."

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
echo "Tworzenie reguł zakończone pomyślnie!"
echo "Tworzenie polityki domyślnej..."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -d 212.2.96.51/32 -j ACCEPT
iptables -A OUTPUT -d 212.2.96.52/32 -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
echo "Tworzenie polityki domyślnej zakończone pomyślnie!"
echo "Otwieranie portów specjalnych FTP/P2P..."

#Porty dla BitTorrent'a
iptables -A INPUT -s 0/0 -p tcp --dport 6881:6889 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 6881:6889 -j ACCEPT

#Porty FTP/Apache
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT -m limit --limit 1/sec

echo "Dodatkowe porty otwarte!"
echo "Zapora gotowa!";

Ok. Zapisuję. Nadaję CHMOD 700 i uruchamiam. Wywala mi:

* Reconfiguring network interfaces... [ OK ]

Następnie wynik polecenia iptables -L:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

No i UPSEROS wywala wszystkie porty na niewidocznym (chyba, że invisible to po hiszpańsku i ma inne znaczenie niż w angielskim)

Dodatkowo mam TOR'a i ClamAV (co do tego drugiego to sam nie wiem po co - nawyk z windowsa?), czyli chyba mogę się czuć zabezpieczony?

Pozdrawiam

[jacekalex]

Witam

Kod: Zaznacz cały

root@localhost:# ls -l $(which firewall)
-rwx------ 1 root root 2219 2009-05-09 07:41 /usr/local/bin/firewall

Kod: Zaznacz cały

root@localhost:# firewall
 Uruchamiam firewalla.............................................
# ignorowanie ICMP sudo echo request wysylanych na adres rozgloszeniowy
# ochrona przed SYN flood
# refuse source routed packets
# logowanie pakietow z nieprawidlowych adresow 
# Konfigurowanie zapory...................................................
# Czyszczenie tablic......................................................
# Konfiguracja reguł gotowa..................................................

Kod: Zaznacz cały

root@localhost:# iptables -vL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   44  2498 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 DROP       udp  -f  !lo    any     anywhere             anywhere            
    0     0 REJECT     tcp  --  eth0   any     anywhere             anywhere            state NEW reject-with tcp-reset 
   29  9433 REJECT     udp  --  eth0   any     anywhere             anywhere            state NEW reject-with icmp-host-unreachable 
    0     0 REJECT     tcp  --  eth1   any     anywhere             anywhere            state NEW reject-with tcp-reset 
    0     0 REJECT     udp  --  eth1   any     anywhere             anywhere            state NEW reject-with icmp-host-unreachable 
    0     0            tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh state NEW recent: SET name: DEFAULT side: source 
    0     0 DROP       tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh state NEW recent: UPDATE seconds: 300 hit_count: 1 name: DEFAULT side: source 
    0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh state NEW 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  any    lo      anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   46  2618 ACCEPT     all  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    lo      anywhere             anywhere            
root@localhost:# 

Jak piszesz - ze u Ciebie nie działa - to powiedz - dlaczego działa u mnie?
(co widać na załączonych cytatach).

Rada - prawo do skryptu - tylko root:

Kod: Zaznacz cały

chown root:root $(which firewall)
chmod 700 $(which firewall)
potem dowiązanie do folderu -aby skrypt startował razem z systemem:
sudo ln -s %(which firewall) /etc/network/if-up.d - o ile internet masz z eth0 - przy ppp0 będzie chyba:
sudo ln -s %(which firewall) /etc/ppp/if-up.d

Gdzie firewall - to nazwa twojego skryptu.
Skrypt włóż do folderu wymienionego w zmiennej PATCH - np. /usr/local/bin - listę zobaczysz po komendzie echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games.
Potem sprawdź - czy jest rozpoznawany w systemiesudo which firewall
/usr/local/bin/firewall

Tyle o konfiguracji firewall - blokady.

Co do torrentów - radziłbym dodać limity połączeń podobnie -jak w Apachu,
albo lepiej - tak -aby zablokować atak DOS i przepełnienia bufora - tym sposobem - analogicznie do ssh: http://dug.net.pl/faq/faq-3-140-Blokowanie_ssh_po_nieudanych_próbach_logowania.php

Uruchomienie ręczne - tylko z konta root - nie przez sudo (w jauntym komendy sudo echo generują błąd - u mnie - wcześniej wszystko było ok).

To powinno działać - przynajmniej u mnie działa - u ciebie też powinno.

Natomiast na usperosie Invinsible oznacza - że nic nie słucha na tym porcie.
W skrypcie masz reguły ukrywania usług - firewalla  - to komendy:
sudo iptables -A INPUT -p tcp -i eth0 -m state --state NEW -j REJECT --reject-with tcp-reset

sudo iptables -A INPUT -p udp -i eth0 -m state --state NEW -j REJECT --reject-with icmp-host-unreachable

powodują - że przy skanowaniu portów firewall udaje - że host nie istnieje, np: icmp-host-unreachable
To by było na tyle.

Pozdrawiam