AMD Planet

[cb_123]

Oggi facendo un test online mi sono accorto di avere la porta ping di ipcop aperta, allora ho cercato qualche informazione per chiuderla ed ho trovato che si potrebbe modificare nel file /etc/rc.d/rc.firewall questo codice:

Codice: Seleziona tutto

# Allow ICMP echo-request (ping), all other essential ICMP will be
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

con questo:

Codice: Seleziona tutto

# Allow ICMP echo-request (ping), all other essential ICMP will be
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
if [ "$IFACE" != "" ]; then
# RED PING
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -i $IFACE -j DROP
fi
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

Il problema è che guardandolo quell'istruzione "fi" non capisco cosa sia, dite che è un if o è giusto scritto cosi?

[gallomail]

l'hai trovato qui vero? http://www.issociate.de/board/post/2131 ... rface.html

Leggendo su altri siti dovrebbe essere giusto quel "fi" anche se non ho idea di che cosa sia...di solito è pieno di "if" ..eheheheheh...

[cb_123]

Si l'ho proprio trovato li.

Ho visto anch'io che c'è su altri siti esattamente la stessa cosa, ma non vorrei che proprio perchè è la stessa cosa fosse un copia incolla che si porta dietro tutti gli errori.

Io intanto l'ho modificato e la porta dall'esterno è chiusa, ma così com'è adesso è chiusa anche se faccio un ping dall'interno.

Io l'ho scritto così:

Codice: Seleziona tutto

# Allow ICMP echo-request (ping), all other essential ICMP will be
# ESTABLISHED or RELATED, and the rest caught by the default DENY policy
if [ "$ppp0" != "" ]; then
# RED PING
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -i $ppp0 -j DROP
fi
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

sostituendo $IFACE con $ppp0, però anche qui non so bene se devo lasciare davanti il simbolo $ o meno.

[cb_123]

Ho trovato anche questo sito francese che ne parla e mi sembra di aver capito che in questo modo aggiungendo soltanto una linea di codice viene ignorato qualsiasi ping venga fatto alla macchina.

Qualcuno me lo può confermare visto che di francese io so a malapena un paio di parole?

[gallomail]

eh no..con il francese non ti so aiutare...

Cmq nello specifico non lo so ma di solito quando si seleziona l'interfaccia si lascia il simbolo "$" ... e poi non è che mi ricordo tanto bene, è una vita che non uso Linux...

[cb_123]

L'istruzione fi ho controllato ed ho visto che viene usata anche altre volte all'interno del file di configurazione dopo le struzioni if e then quindi dovrebbe essere giusta, però io questo codice più lo guardo e più mi sembra che non possa funzionare.

Non c'è nessuno che sappia qualcosa di programmazione in grado di darmi una mano?

[Cesena'88]

ma questa porta è aperta per default?
come fai a modificare quel file?

[cb_123]

Si la porta di default è aperta per rispondere ai ping.
Per modificare il file ho un programma con cui posso accedere al firewall da remoto ed accedere a tutti i file presenti sull'hd.

[Cesena'88]

puoi inviarmi quel programma? grazie
ma con quella porta aperta si rischia qualcosa?

[cb_123]

Il programma che uso io è WinSCP.

Anche se la lasci aperta su di un sistema che non deve stare sempre online non dovebbe essere un problema, il sistema però con la porta aperta è vulnerabile ad attacchi di tipo DoS ed in particolare il ping of death che può portare al blocco del sistema oltre ad essere più visibili dall'esterno visto che se la porta resta chiusa non si risponde alle richieste di ping di nessuno e quindi è come se non ci fosse collegato niente.

In smoothwall si può abilitare comodamente dall'interfaccia grafica questa cosa, però non riesco a trovare un estensione che mi permette di far spegnere il firewall in automatico se non ci sono pc in rete qundi intanto mi tengo ipcop.

[cb_123]

Thrantir visto che sei tornato dalle ferie e mi sembra che tu sia ferrato in materia dammi qualche consiglio tu.

Intanto si è mosso qualcosa anche da parte degli sviluppatori di ipcop, hanno introdotto l'opzione per bloccare i ping dalla rete esterna, peccato che non funzioni ancora.

[thrantir]

ho dato uno sguardo

quel fi ke nn ti riesci a spiegare dovrebbe semplicemente essere l'istruzione ke kiude l'if, una sorta di parentesi insomma

[cb_123]

Si alla fine a quello c'ero arrivato, però il problema è che non funziona.

[cb_123]

Finalmente con la nuova patch che hanno rilasciato ieri ora l'opzione per bloccare i ping provenienti dalla rete esterna funziona.