router o modem ethernet e firewall

[marghe]

Ciao a tutti, volevo chiedere se qualcheduno è a conoscenza di qualche router o modem adsl con firewall altamente configurabile, non me ne intendo, ma ho letto che molti dei firewall integrati in questi dispositivi sono piuttosto poco configurabili.

Inizialmente ho pensato di prendere una scheda usb di modo da poter configurare netfilter sull'interfaccia ppp0 come preferivo, ma è troppo impegnativa, molto meglio un router o un modem ethernet.

Ho visto che si puo moddare il firmware (grazie a qualche guru) di alcuni modem d-link, il problema è che mi è sembrato di capire (ho letto al volo) che ci voglia win (che non ho) e anche con wine perderei troppi giorni dietro a questo lavoro, purtroppo quello che mi manca sempre è iltempo.

Quindi anche spendendo un po' di più preferirei un device con netfilter che mi permettesse di essere configurato tramite iptables con queste regole (che non sono farina del mio sacco ma provengono da un pdf intitolato "linux in rete, stop agli intrusi" e prelevato da http://www.zeusnews.it, io poi ho tolto solo qualche riga che non mi serviva).

###############################################################################

#

# setup preliminare

#

###############################################################################

modprobe ip_conntrack_ftp

iptables -F

iptables -X

###############################################################################

#

# definizione della chain STOP (logga e scarta i pacchetti)

#

###############################################################################

iptables -N STOP

iptables -A STOP -j LOG

iptables -A STOP -j DROP

###############################################################################

#

# tutto il traffico che richiede routing viene scartato

#

###############################################################################

iptables -A FORWARD -j STOP

###############################################################################

#

# tutto il traffico sospetto (pacchetti non validi e frammenti) viene scartato

#

###############################################################################

iptables -A INPUT -j STOP -m state --state INVALID

iptables -A INPUT -j STOP -f

iptables -A OUTPUT -j STOP -m state --state INVALID

iptables -A OUTPUT -j STOP -f

###############################################################################

#

# loopback: tutto il traffico locale e' abilitato senza limitazioni

#

###############################################################################

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

###############################################################################

#

# internet: sono scaratati i pacchetti provenienti o destinati a reti private

# o indirizzi riservati (classi a, b, c, e)

#

###############################################################################

iptables -A INPUT -i ppp0 -j STOP -s 10.0.0.0/8

iptables -A INPUT -i ppp0 -j STOP -d 10.0.0.0/8

iptables -A INPUT -i ppp0 -j STOP -s 172.16.0.0/12

iptables -A INPUT -i ppp0 -j STOP -d 172.16.0.0/12

iptables -A INPUT -i ppp0 -j STOP -s 192.168.0.0/16

iptables -A INPUT -i ppp0 -j STOP -d 192.168.0.0/16

iptables -A INPUT -i ppp0 -j STOP -s 240.0.0.0/5

iptables -A INPUT -i ppp0 -j STOP -d 240.0.0.0/5

iptables -A OUTPUT -o ppp0 -j STOP -s 10.0.0.0/8

iptables -A OUTPUT -o ppp0 -j STOP -d 10.0.0.0/8

iptables -A OUTPUT -o ppp0 -j STOP -s 172.16.0.0/12

iptables -A OUTPUT -o ppp0 -j STOP -d 172.16.0.0/12

iptables -A OUTPUT -o ppp0 -j STOP -s 192.168.0.0/16

iptables -A OUTPUT -o ppp0 -j STOP -d 192.168.0.0/16

iptables -A OUTPUT -o ppp0 -j STOP -s 240.0.0.0/5

iptables -A OUTPUT -o ppp0 -j STOP -d 240.0.0.0/5

###############################################################################

#

# internet: sono bloccati i pacchetti da e per indirizzi di loopback

#

###############################################################################

iptables -A INPUT -i ppp0 -j STOP -s 127.0.0.0/8

iptables -A INPUT -i ppp0 -j STOP -d 127.0.0.0/8

iptables -A OUTPUT -o ppp0 -j STOP -s 127.0.0.0/8

iptables -A OUTPUT -o ppp0 -j STOP -d 127.0.0.0/8

###############################################################################

#

# internet: sono bloccati i pacchetti da e per indirizzi di broadcast atipici

#

###############################################################################

iptables -A INPUT -i ppp0 -j STOP -s 0.0.0.0

iptables -A INPUT -i ppp0 -j STOP -d 0.0.0.0

iptables -A INPUT -i ppp0 -j STOP -s 255.255.255.255

iptables -A INPUT -i ppp0 -j STOP -d 255.255.255.255

iptables -A OUTPUT -o ppp0 -j STOP -s 0.0.0.0

iptables -A OUTPUT -o ppp0 -j STOP -d 0.0.0.0

iptables -A OUTPUT -o ppp0 -j STOP -s 255.255.255.255

iptables -A OUTPUT -o ppp0 -j STOP -d 255.255.255.255

###############################################################################

#

# internet: i multicast (classe d) sono accettati in ingresso se l'indirizzo

# multicast e' quello di destinazione; in uscita sono sempre scartati

#

###############################################################################

iptables -A INPUT -i ppp0 -j STOP -s 224.0.0.0/4

iptables -A INPUT -i ppp0 -j ACCEPT -d 224.0.0.0/4 -p udp -m limit --limit 5/second --limit-burst 10

iptables -A OUTPUT -o ppp0 -j STOP -s 224.0.0.0/4

iptables -A OUTPUT -o ppp0 -j STOP -d 224.0.0.0/4

###############################################################################

#

# internet: bloccati tutti i pacchetti in ingresso diretti a indirizzi diversi

# da quello locale e tutti i pacchetti in uscita con indirizzo di origine

# diverso da quello locale

#

###############################################################################

#iptables -A INPUT -i ppp0 -j DROP

#iptables -A OUTPUT -o ppp0 -j DROP

###############################################################################

#

# internet: dns (solo query)

#

###############################################################################

iptables -A OUTPUT -o ppp0 -j ACCEPT -p udp --sport 1024: --dport 53 -m state --state NEW,ESTABLISHED

iptables -A INPUT -i ppp0 -j ACCEPT -p udp --dport 1024: --sport 53 -m state --state ESTABLISHED

###############################################################################

#

# internet: ftp (controllo), smtp, http, pop3, https

#

###############################################################################

iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: -m multiport --dports 21,25,80,110,443 -m state --state NEW,ESTABLISHED

iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: -m multiport --sports 21,25,80,110,443 -m state --state ESTABLISHED

###############################################################################

#

# internet: ftp (dati / active); per attivare le regole rimuovere i

# caratteri "#" in testa alle righe

#

###############################################################################

#iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 20 \

# -m state --state RELATED -m limit --limit 10/minute --limit-burst 15

#iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 20 \

# -m state --state ESTABLISHED

#iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: --dport 20 \

# -m state --state ESTABLISHED

###############################################################################

#

# internet: ftp (dati / passive)

#

###############################################################################

iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED

iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED

###############################################################################

#

# internet: traceroute solo verso host remoti

#

###############################################################################

iptables -A OUTPUT -o ppp0 -j ACCEPT -p udp --sport 32769: --dport 33434:33523 -m state --state NEW

###############################################################################

#

# internet: icmp ok verso host remoti; in ingresso solo in risposta a

# connessioni gia' attive

#

###############################################################################

iptables -A OUTPUT -o ppp0 -j ACCEPT -p icmp -m state --state NEW

iptables -A INPUT -i ppp0 -j ACCEPT -p icmp -m state --state RELATED,ESTABLISHED

###############################################################################

#

# tutto cio' che non e' stato esplicitamente ammesso viene bloccato ora

#

###############################################################################

iptables -A INPUT -j STOP

iptables -A OUTPUT -j STOP

###############################################################################

#

# kernel settings: i comandi che seguono richiedono al kernel di Linux di

# scartare alcune tipolgie di pacchetti che potrebbero essere utilizzate

# per diversi tipi di attacco. Non si tratta di comandi dati a Netfilter:

# vengono valorizzate variabili di stato interne al kernel scrivendo i

# valori opportuni sul filesystem virtuale /proc

#

###############################################################################

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

###############################################################################

Sarebbe importante che avesse un kernel 2.4, perchè qualcuno mi corregga se sbaglio ma il 2.6 ha qualche problema con iptables

e sarebbe anche importante che mi facesse caricare il modulo "ip_conntrack_ftp" importante per una regola di quelle sopra.

Le regole sopra sono x un ip pubblico senza servizi sulla macchina

Mi rendo conto che voglio la luna in terra
..............se non fosse possibile qualunque consiglio è ben accetto

grazie in anticipo, solo per aver letto fino qui............

[kobaiachi]

non sono a conoscenza di router con linux sopra cosi ampiamente configurabili se avessi un po di tempo da spendere ti consiglerei un cisco serie 800 ma qui ti dovresti comunque studiare come funzionano le access-list dei cisco( se pero conosci ip tables ci metti veramente poco a capire come funzionano le access-list e a convertitre quello script per ip tables in una access-list )

una cosa che puoi fare è recuperare un vecchio pc (magari un bel 486 che erano a dissapazione passiva cosi non ti fa nemmeno casino ) e ci piazzi sopra Slackware in versione iper ridotta (praticamente solo il kernel ed ip tables) monti due schede di rete una la colleghi ad un modem ethernet e l'altra allo switch che ti redistribuisce la connessione nella tua LAN privata

ci sono anche distro firewall come smoothwall che potrebbero assolvere bene allo scopo .

anche io ho sentito che modificando il firmware di alcuni apparati d-link si possono ottenere notevoli risultati pero a quanto ho capito questi firmware sono "non ufficiali" ed avrei un po di remore ad usarli sopratutto se li devi usare in ambito soho.

ps. non ho capito in che senso dici che ci vuole win

comunque per questo aspetta le risposte di qualcuno che usa il d-link cosi modificato .

[zevin]

Io ho da poco acquistato un d-link 502t. La configurazione del router si fa via web con qualsiasi browser. Puoi usare DHCP o un IP statico, usare il firewall integrato (abbastanza configurabile) o meno. Per le mie esigenze l'ho trovato molto comodo e la configurazione via web semplice e funzionale. Configurando la rete con DHCP fa praticamente tutto da solo.

[masalapianta]

http://wiki.openwrt.org/TableOfHardware ... direct=toh
scegline uno, piglialo e installaci openwrt

[marghe]

Grazie a tutti,

per precisare devo attaccare alla adsl un unico pc casalingo

kobaiachi

non sono a conoscenza di router con linux sopra cosi ampiamente configurabili se avessi un po di tempo da spendere ti consiglerei un cisco serie 800 ma qui ti dovresti comunque studiare come funzionano le access-list dei cisco( se pero conosci ip tables ci metti veramente poco a capire come funzionano le access-list e a convertitre quello script per ip tables in una access-list )

non ho molto tempo a disposizione e iptables l'avevo guardato qualche anno fa, quanto basta per eliminare le regole che non mi servivano da quello script già fatto

una cosa che puoi fare è recuperare un vecchio pc (magari un bel 486 che erano a dissapazione passiva cosi non ti fa nemmeno casino ) e ci piazzi sopra Slackware in versione iper ridotta (praticamente solo il kernel ed ip tables) monti due schede di rete una la colleghi ad un modem ethernet e l'altra allo switch che ti redistribuisce la connessione nella tua LAN privata

non ne ho il tempo, non ho l'hardware e nemmeno lo spazio

anche io ho sentito che modificando il firmware di alcuni apparati d-link si possono ottenere notevoli risultati pero a quanto ho capito questi firmware sono "non ufficiali" ed avrei un po di remore ad usarli sopratutto se li devi usare in ambito soho.

ps. non ho capito in che senso dici che ci vuole win

ho letto di volata, ma mi sembra di aver capito che l'interfaccia che serve a moddare il firmware giri su win o al massimo su wine (ma non ho approfondito, può darsi che ci sia anche x linux).




zevin

Io ho da poco acquistato un d-link 502t. La configurazione del router si fa via web con qualsiasi browser. Puoi usare DHCP o un IP statico, usare il firewall integrato (abbastanza configurabile) o meno. Per le mie esigenze l'ho trovato molto comodo e la configurazione via web semplice e funzionale. Configurando la rete con DHCP fa praticamente tutto da solo.

ecco cercavo proprio qualcosa del genere, pensi che su questo router si possano replicare le regole da me scritte nel primo post ?

Cercavo qualche device che permettesse l'invisibilità di portscan e ping sul mio ip pubblico, e che droppasse tutti i pacchetti non richiesti........



masalapianta

http://wiki.openwrt.org/TableOfHardware ... direct=toh
scegline uno, piglialo e installaci openwrt

non conoscevo questo progetto, ho dato un occhiata al link... hai proprio capito quello cercavo.... l'unico problema è che non ho le conoscenze abbastanza approfondite da fare
quel lavoro nel tempo che ho a disposizione..... dovrei mettermi a studiare, e anche se su quelle cose mi ci diverto, non so dove trovare il tempo di farlo.....

quindi cercavo qualcosa di commerciale già pronto in scatola da montare e configurare nell'arco di un giorno studiando cose nuove il meno possibile....

anche se di solito non apprezzo questa carettiristica per esigenza di tempo cercavo qualcosa di facile configurazione che si avvicinasse il più possibile alla flessibilità di netfilter.

[submax82]

Ho visto che si puo moddare il firmware (grazie a qualche guru) di alcuni modem d-link, il problema è che mi è sembrato di capire (ho letto al volo) che ci voglia win (che non ho) e anche con wine perderei troppi giorni dietro a questo lavoro, purtroppo quello che mi manca sempre è iltempo.

NO non ci vuole windows per forza ... puoi aggiornare anche da linux ma non hai un tool automatico

[marghe]

Ho visto che si puo moddare il firmware (grazie a qualche guru) di alcuni modem d-link, il problema è che mi è sembrato di capire (ho letto al volo) che ci voglia win (che non ho) e anche con wine perderei troppi giorni dietro a questo lavoro, purtroppo quello che mi manca sempre è iltempo.

NO non ci vuole windows per forza ... puoi aggiornare anche da linux ma non hai un tool automatico

scusa, avevo letto al volo, perchè non era la scelta addatta alle mie necessità, sarebbe sicuramente interessante, ma forse non è l'ideale x uno che ha fretta di configurare tutto.

Già che ho l'onore di parlare con uno di quei guru...... magari tu hai una discreta conoscenza di firmware di router....

sapresti consigliarmi qualche modello con firewall decente, non troppo difficile da configurare......

telefonando in un negozio vicino da me mi è stato proposto un D-LINK DSL-524T, ma rovistando in rete, ho trovato uno che (da come parla) sembra ne sappia, che l'ha comprato proprio in quel negozio, e dice che si disconnette di continuo, cosa che non gli succedeva con il router precente..... non so....

[masalapianta]

Grazie a tutti,

per precisare devo attaccare alla adsl un unico pc casalingo

perdona la domanda ma perche'pensi che ti serva un firewall?

[marghe]

perdona la domanda ma perche'pensi che ti serva un firewall?

lo so che che ora sparerò qualche boiata, quando succederà correggetemi....

Non ho porte in ascolto sul pc, a parte la 6000 che so si potrebbe chiudere, anche se non conosco le conseguenze della chiusura (se è aperta ci sarà un perchè...).

quindi teoricamente..... credo sarei sicuro anche senza firewall, in fondo non uso il s.o. del sapientino

però la paranoia fa sempre mille..... fin'ora ho usato il 56k.....quindi....

mettiamo che io adesso installi un modem adsl o un router/modem, poi alla fine anche i modem credo ormai siano tutti router..... è li in bella vista e magari risponde anche ai portscan, magari qualcuno (sta per arrivare la boiata...) riesce a modificare le tabelle di routing e usarlo per instradare a piacere i propri pacchetti, magari è buggato come lo speedtouch, so che i dati sul mio pc non fanno gola a nessuno (tranne alla mia ragazza), però dietro un firewall mi sentirei più sicuro.......anche impedendo certi pacchetti in uscita... come le regole che ho imposstato con netfilter... non si sa mai... cerco di scaricare sempre programmi da siti affidabili, però....

vi prego se ho detto delle boiate non bannatemi [-o< ..... magari fatemele notare....

[mr_hyde]

Non ho porte in ascolto sul pc, a parte la 6000 che so si potrebbe chiudere, anche se non conosco le conseguenze della chiusura (se è aperta ci sarà un perchè...).

Nel caso ti serva saperlo, la 6000 e' la porta su cui sta in ascolto un XServer.
Quindi, se non usi applicazioni X che da remoto devono usare il tuo server X puoi anche chiuderla.

Potresti avere anche 6001, 6002 ecc nel caso in cui sul tuo PC girano contemporaneamente piu' server X.

Non e' male dare un'occhiata al file /etc/services dove sono elencati numeri di porta protocollo TCP/UDP e spesso una label che indica a cosa in genere serve quella porta.

Ciao,
Mr Hyde

[marghe]

Nel caso ti serva saperlo, la 6000 e' la porta su cui sta in ascolto un XServer.
Quindi, se non usi applicazioni X che da remoto devono usare il tuo server X puoi anche chiuderla.

Potresti avere anche 6001, 6002 ecc nel caso in cui sul tuo PC girano contemporaneamente piu' server X.

Non e' male dare un'occhiata al file /etc/services dove sono elencati numeri di porta protocollo TCP/UDP e spesso una label che indica a cosa in genere serve quella porta.

Grazie, non lo sapevo, sapevo che serviva a X, ma pensavo la usasse in locale, e mi ero limitato a bloccarne gli accessi esterni

grazie anche x l'info del file /etc/services, comodo, non lo conoscevo.

[submax82]

Già che ho l'onore di parlare con uno di quei guru...... magari tu hai una discreta conoscenza di firmware di router....

mi fai arrossire

diciamo di sì ho moddato il firmware per il mio 300t e ho "in cantiere" quello per il 320t

sapresti consigliarmi qualche modello con firewall decente, non troppo difficile da configurare......

telefonando in un negozio vicino da me mi è stato proposto un D-LINK DSL-524T, ma rovistando in rete, ho trovato uno che (da come parla) sembra ne sappia, che l'ha comprato proprio in quel negozio, e dice che si disconnette di continuo, cosa che non gli succedeva con il router precente..... non so....

bè il 524t te lo sconsiglio a quel punto è meglio un 300t o 302t + firmware moddato ... che praticamente arriva ad avere le stesse funzionalità.... e forse aqnche di più e con meno problemi di connessione visto il dsp più aggiornato.

il 524t è comunque un buon router

io consiglio un router adsl2+ con chip broadcom tipo l'us robotics 9107A http://www.usr-emea.com/products/p-broa ... s&loc=itly

[marghe]

Già che ho l'onore di parlare con uno di quei guru...... magari tu hai una discreta conoscenza di firmware di router....

mi fai arrossire

diciamo di sì ho moddato il firmware per il mio 300t e ho "in cantiere" quello per il 320t

beh..... diciamo che quando uno arriva a moddare il firmware di un router, può rinetersi di essere nella parte di quelli che ne sanno....

adulazioni a parte, se io lo sapessi fare andrei a vantarmene per tutto il paese (anche se dalle mie parti nessuno capirebbe cosa vuol dire)... e mi farei anche chiamare ing. da mia mamma.....

io consiglio un router adsl2+ con chip broadcom tipo l'us robotics 9107A http://www.usr-emea.com/products/p-broa ... s&loc=itly

allora... oggi ho telefonato ai negozi in zona, ho scartato quelli che davano col Dixan e mi sono rimasti

- d-link 524t

- ZyXEL 660H

di moddare un modem d-link non me la sento, a causa come ho detto prima del poco tempo a disposizione, credo sia un lavoro che richieda più di qualche ora per uno che non sa da dove iniziare

riguardo all' us robotics 9107A, in zona non credo sia facilmente trovabile, ma se mi dici che è molto meglio di quelli sopra provo a vedere se vado un po' più distante se qualcuno l'ha in negozio

tra quei due sopra ormai pensavo al d-link anche se in rete ho letto che è meglio lo zyxel, che costa quasi il doppio......

io in fondo ci devo collegare un pc casalingo per un 2 o 3 ore al giorno solo per navigare e ricevere la posta..... niente pear to pear che ho letto che è il servizio che li mette più in crisi...

[mr_hyde]

io in fondo ci devo collegare un pc casalingo per un 2 o 3 ore al giorno solo per navigare e ricevere la posta..... niente pear to pear che ho letto che è il servizio che li mette più in crisi...

In questo caso non scartare neppure soluzioni piu' economiche: io ad esempio ho un Sitecom WL-160 (il mio pero' NON e' modem ADSL) che rimane acceso tutto il giorno, ha un minimo di funzioni firewall, lo uso tranquillamente anche con aMule/eMule, nonostante sia (immagino) uscito di produzione continuano a far uscire firmware aggiornati (i cui sorgenti sono comunque scaricabili dal sito), me lo hanno dato con 10 anni di garanzia (sarei curioso di tenerlo veramente tutto 'sto tempo per vedere se poi me lo cambiano dopo 9 anni e 11 mesi) e l'ho pagato un paio di mesi fa sui 40 euro (anzi, mi sa pure meno)!

Ai tempi, essendo assolutamente nuovo del mondo Wireless, ho pensato "va be', il primo router lo prendo scarso per imparare e fare esperienza e poi tra qualche mese ne compro uno piu' bello", ma francamente, visti i miei utilizzi, direi che questo fa tutto quello che per me deve fare un router wireless, al max, se ne avro' voglia, guardero' in rete se e' possibile moddare il firmware x avere un firewall con qualche funzione in piu'.

Insomma, riassumendo, se non hai particolari esigenze, non scartare a priori anche le marche meno blasonate!

Ciao,
Mr Hyde

[marghe]

il mio pero' NON e' modem ADSL

scusa quindi x connetterti l'hai attaccato a sua volta ad un modem ?

grazie per il consiglio, comunque ad ogni modo preferisco spendere anche qualche cosina in più per avere un firewall migliore

la mia è proprio una mania...................