Capita spesso, in siti particolarmente visitati, che parte del traffico sia spam o proveniente da paesi che contestualmente al sito non sono di nostro interesse.
Come faccio a configurare Apache o solo iptables per rifiutare le connessioni solo ad alcuni paesi?

È possibile bloccare il traffico sia con Apache o livello di iptable.
A mio parare consiglio iptables per risparmiare risorse. Per farlo, è necessario ottenere l’elenco delle netblocks per ogni paese. È sufficiente visitare questa pagina e scaricare file di blocco IP sono forniti in formato CIDR.

Il seguente script ci permette di definire quali paesi bloccare :

Continue Reading »

Avete mai pensato di non volere che la vostra macchina rispondesse ai ping?
oppure che gli rispondesse più lentamente in modo da evitare attacchi di tipo ping flood?

Bene, le possibilità sono diverse, infatti potreste tranquillamente configurare ipTables per evitare tutto ciò, ma molto più velocemente si potrebbe scrivere :

sysctl -w net.ipv4.icmp_echo_ignore_all=1

ed ecco che la vostra macchina non risponderà più ai ping.
Per ripristinare la condizione iniziale basterà sostituire il valore 1 con il valore 0 in questa maniera :

sysctl -w net.ipv4.icmp_echo_ignore_all=0

Come detto prima è possibile rallentare anche la risposta.

Sempre utilizzando sysctl scriveremo :

sysctl -w net.ipv4.icmp_echoreplay_rate=10

e rallenteremo la frequenza con cui il nostro linux risponde al ping.

linux-security-295×300.gif” alt=”" width=”295″ height=”300″ />

Al giorno d’ oggi non si e’ mai troppo sicuri. Virus, spyware, rootkit, exploits, non potrete mai sapere che tipo di problema di sicurezza sara’ la vostra rovina. Ed e’ per questo che come amministratore linux e’ importante conoscere alcuni dei migliori tool disponibili per la sicurezza sotto linux. In questo articolo conoscerete 10 tra i migliori strumenti per la sicurezza in linux e le risorse per poterli sfruttare a vostro vantaggio.

Continue Reading »

Se vogliamo proteggere una rete locale e permettere la navigazione abilitando il NAT, possiamo usare al volo una configurazione di questo tipo.

Facciamo uno scirpt che chiamiamo rc.firewall:

#########################
#####rc.firewall
#########################
# eth0= LAN interface
# eth1= NET interface
# 192.168.10.0 = LAN interna

# Abilitiamo il forwarding dei pacchetti tra le interfacce (interna ed esterna)
echo 1 > /proc/sys/net/ipv4/ip_forward

# Cancelliamo tutte le vecchie policy
iptables -F
iptables -t nat -F
iptables -t mangle -F

# apertura di default (reset del firewall)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Politiche di default tutte a DROP (privilegio minimo)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Viene permesso il traffico stabilito o correlato
iptables -I INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# Viene abilitato il forward della rete interna
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

# Viene permesso l’accesso al firewall via ssh dalla rete interna
iptables -A INPUT -s 192.168.10.0/24 -p tcp –dport 22 -j ACCEPT

# Impostiamo il MASQUERADING (NAT) per la rete interna
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE

# Abilitiamo iltraffico in uscita dal firewall per DNS ed SSH
iptables -A OUTPUT -p tcp –dport 53 -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 22 -j ACCEPT
#########################

Il NAT è una tecnica che permette di manipolare l’indirizzo sorgente (SNAT) o l’indirizzo di destinazione(DNAT) del pacchetto IP quando questo viaggia sulla rete. In genere i collegamenti che effettuano il NAT ricordano come hanno manipolato il pacchetto, e quindi quando arriva un pacchetto di risposta dall’altra parte, viene effettuato su quest’ultimo la manipolazione inversa, in questo modo tutto funziona.

Le ragioni per cui viene utilizzato il NAT sono le seguenti:

• connessioni di più client a Internet attraverso un solo IP address pubblico. Tipico delle connessioni modem o xdsl dove sia ha un solo IP pubblico.
• quando si desidera cambiare l’IP address di destinazione sui pacchetti che giungono alla nostra rete. Questo quando si ha un solo IP address pubblico e si vuol far raggiungere dall’esterno uno o più servizi all’interno della propria rete privata.
• quando si ha la necessità di far dialogare reti in over-lapping o duplicate.
• quando si vuole attivare un Trasparent Proxy ovvero redirigere i pacchetti destinati a Internet verso un Web Proxy evitando così di configurare manualmente l’indirizzo del proxy sui ogni singolo client della propria rete.
• quando si ha l’esigenza di implementare un Port-Forwarding e quindi di alterare le porte dei protocolli di trasporto TCP/UDP.

Continue Reading »