Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Archive for Settembre, 2020

NFTABLES —

Nelle nuove distribuzioni Debian e derivate (ormai è chiaro anche ai sassi che sia a livello personale che aziendale uso Devuan) il programma di default per il packet filtering e’ nftables Quindi un po perché anche se non immediatamente il supporto a iptables diminuirà e quindi cesserà, un po perché stando alla documentazione nftables è […]

Loggare nftables in un file diverso da syslog —

I log di nftales sono  tanto utili quanto prolissi,  anche in questo caso ci sono diversi modi di raccogliere i log, personalmente come al solito  preferisco usare il vecchio metodo del file nella directory /var/log. Si tratta di istruire il sistema a salvare in un file diverso da syslog, e in questo ci supporta il […]

Blocklist-with-nftables —

Negli ultimi anni si sono diffusi a macchia d’olio i vari criptolocker. Inutile rimarcare quanto siano dannosi e che razza di gentaglia sia quella che li produce e li usa, importante invece cercare di capire come funzionano e quindi metterli in condizione di non poter fare danni o almeno non molti. Dalle analisi fatte dai […]

Ale.nft —

Questo è lo script vero e proprio che contiene tutte le regole del firewall e che viene invocato da ale401.sh N.B. NON ci sono a capo ogni riga è unica gli a capo qui sono dati dalla formattazione del testo. N.M.B. per poter usare la famiglia inet su nat è obbligatorio, mandatorio, necessario e continuate […]

vars.sh —

Allo scopo di rendere facilmente portabile tutto il lavoro ho fatto questo scriptino sciocco che mi scrive ogni volta che viene invocato gli IP delle interfacce di rete in un file di testo. #!/bin/bash EXTIF=”eth0″ ## word interface INTIF=”eth1″ ## lan interface VPNIF=”eth0:0″ ### da scommentare se esiste DMZ ###DMZIF=”eth2″ ###WEBIF=”eth0:1″ rm -rf /usr/local/bin/vars echo […]

definitions —

In questo file si definiscono le variabili da passare allo script, è un file di testo semplice define EXTIF = “eth0” define INTIF = “eth1” define LO = “lo” define LO_IP = “127.0.0.1” define LAN = { 192.168.2.0/23 } #le graffe per il /23 se no non lo legge define BCAST = “192.168.3.255” define CHIMERA […]

ale401.sh —

Questo è lo script di lancio del firewall con nftables, resto ostinatamente fedele a sysv e pertanto uso questi. In realtà questo più che uno script è una “matrioska”, perché contiene tag LSB a parte solo delle chiamate di altri script #!/bin/bash -x ### BEGIN INIT INFO # Provides: nftables # Required-Start: $local_fs $network $remote_fs […]

Parametri kernel da passare all’avvio —

Normalmente i parametri da settare all’avvio per i firewall li metto nello script stesso, avendo riscritto il tutto da 0 in un ottica diversa ed essendo un numero molto maggiore dell’usuale ho deciso di usare sysctl che è poi nato per quello, ho quindi creato nella directory /etc/sysctl.d/ il file ale.conf che contiene sia i […]

Bind9 in chroot su Devuan3 —

Per la serie complichiamo le cose semplici, ho dovuto aggiornare i due bastion host perimetrali in ottica cambio iptables/nftables. La prima sorpresa e stata bind che in chroot non voleva saperne di partire, su un bastion host non mi pare una grande idea lasciare fuori dalla jail il DNS, però lasciare una macchina simile senza […]

Hide picture