domanda su firewall

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
scibilo
Linux 1.x
Linux 1.x
Messaggi: 111
Iscritto il: sab 20 set 2003, 0:00

domanda su firewall

Messaggio da scibilo »

ciao a tutti,
<BR>ho letto vari tutorial su iptables ma ho ancora molti dubbi...
<BR>spiego la situazione
<BR>
<BR>3 pc
<BR>1 pc: 192.168.0.1, un vecchio pentium II 300 Mhz, c´e´ una debian cui e´ collegato un modem adsl usb; vorrei facesse da server, firewall e proxy(quando lo installero´)
<BR>2 pc: 192.168.0.2, un notebook con su una slackware current, questa mi fa da server web (in realta´ ci provo i vari cms o script php)
<BR>3 pc: 192.168.0.3, windows xp pro su un vecchio celeron 450 mhz
<BR>
<BR>tutti collegati attraverso uno switch e adsl condivisa attraverso la debian
<BR>
<BR>non vorrei dover utilizzare prodotti come guarddog e simili, così per la condivisione e firewall, in debian ho questo script che lancio dopo la connessione:
<BR>
<BR>echo ´0´> /proc/sys/net/ipv4/ip_forward
<BR>
<BR>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
<BR>iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
<BR>iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
<BR>
<BR>echo ´1´> /proc/sys/net/ipv4/ip_forward
<BR>
<BR>
<BR>e´ uno script valido come firewall? Dovrei aggiungere altre regole?
<BR>Lo chiedo perche´ ho notato una certa lentezza nella connessione con la slackware e windows, soprattutto con programmi come azureus e amule (quest´ultimo neanche si connette)
<BR>azureus mi da problemi di nat sulla porta settata
<BR>
<BR>suggerimenti?
<BR>
<BR>grazie ;-)

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

domanda su firewall

Messaggio da useless »

eh appunto, devi fare del portmapping. ti consiglio di dare un´occhio al mio firewall che c´è qua in giro e utilizzare lo script portmap, che rende il tutto semplice e indolore.

scibilo
Linux 1.x
Linux 1.x
Messaggi: 111
Iscritto il: sab 20 set 2003, 0:00

domanda su firewall

Messaggio da scibilo »

dunque, ho prelevato il tuo firewall e letto la guida
<BR>
<BR>vediamo se ho capito bene, una specie di passo passo for donkey come me:
<BR>
<BR>- prendo la directory firewall e la metto in /etc, nella mia debian (visto che e´ questa che mi fa da server e condivide la connessione; se e´ il caso di cambiare e mettere slack per questo lo faccio subito ;-) )
<BR>- a questo punto lo script di cui sopra per la nat deve essere lanciato lo stesso?
<BR>- lancio rc.firewall start dopo essermi connesso e stop per sconnettermi
<BR>
<BR>ho letto che devo configurare portmap per la mia rete, ma dando un´occhiata allo script non ho capito dove devoconfigurarlo; in piu´ nel file blocked_ips c´e´ questo:
<BR>
<BR># No private IP´s - Maybe these are already filtered by the
<BR># UNCLEAN match?
<BR>10.0.0.0/8
<BR>172.16.0.0/12
<BR>192.168.0.0/16
<BR>
<BR>verra´ bloccata la mia rete in questo modo?
<BR>
<BR>abbi pazienza per le domandi banali :-]
<BR>ciao e ancora grazie

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

domanda su firewall

Messaggio da useless »

be´, ti ho consigliato di usare solo portmap, non l´intero fw, cosa che comunque dovrebbe essere indolore :).
<BR>i file di configurazione di portmap si chiamano tipo:
<BR>tcp-192.168.0.1
<BR>e contengono righe del tipo
<BR>8080:80:server web
<BR>
<BR>in questo esempio le connessioni sulla porta 8080 dell´ip pubblico verrano ridirezionate sulla porta 80 di 192.168.0.1 ("server web" è una descrizione a tuo uso e consumo. se la porta destinazione è la stessa sorgente puoi semplicemente lasciarla vuota (80::server web).
<BR>
<BR>quanto a blocked_ips: le connessioni con gli ip contenuti in quel file saranno bloccate solo quando provengono dall´esterno. non c´è nessuna limitazione sul traffico interno (un punto che credo sia poco chiaro in generale è che i gateway/firewall stanno a cavallo tra due sottoreti e decidono cosa passa o non passa TRA di esse, non SU di esse).
<BR>
<BR>comunque x usare il fw fai tutto bene: io lancio rc.firewall da ip-up, ma puoi anche lanciarlo a mano o da rc.local se hai router (nel qual caso comunque non serve a niente :-D). ricordati di modificare "online" a tuo uso e consumo (metti almeno gli ip corretti nelle 2 righe dove sono).

scibilo
Linux 1.x
Linux 1.x
Messaggi: 111
Iscritto il: sab 20 set 2003, 0:00

domanda su firewall

Messaggio da scibilo »

scusa l´insistenza (magari ne esce un how-to ;-) ), almeno faccio le cose per bene; comincio a capire qualcosina
<BR>
<BR>non conoscevo l´esistenza di ip-up, da quel che ho capito fa partire dei comandi dopo che la connessione ad internet e´ stata stabilita
<BR>
<BR>ok, a questo punto, prendo la directory firewall e la butto in /etc
<BR>
<BR>- come configuro ip-up in modo che dopo la connessione il tutto parti in automatico?
<BR>- sono queste le due righe in "online" da modificare per la mia rete?
<BR>INTNET="10.0.6.0/24" (suppongo qui 192.168.0.0/24)
<BR>INTIP="10.0.6.5" (qui? :-o )
<BR>
<BR>in un tuo precedente intervento davi questo comando per abilitare una porta:
<BR>iptables -t nat -A PREROUTING -p udp --dport 32775 -j DNAT --to
<BR>riguardo ad un programma
<BR>
<BR>il problema e´ che non ho idea come usare il portmapping, quindi il tuo firewall puo´ essermi molto utile
<BR>
<BR>
<BR>grazie
<BR>ciao
<BR>
<BR>

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

domanda su firewall

Messaggio da useless »

INTIP è l´ip del pc in questione sulla rete, tipo 192.168.0.1.
<BR>
<BR>giusto tutto il resto, alla fin fine quello che lo script portmap fa è lanciare quel comando iptables coi parametri che legge dai vari file tcp-x.x.x.x.
<BR>
<BR>in ip-up metti alla fine:
<BR>/etc/firewall/rc.firewall start
<BR>
<BR>e in ip-down:
<BR>/etc/firewall/rc.firewall stop

scibilo
Linux 1.x
Linux 1.x
Messaggi: 111
Iscritto il: sab 20 set 2003, 0:00

domanda su firewall

Messaggio da scibilo »

resoconto:
<BR>
<BR>- in /etc inserito directory firewall
<BR>- file "online": modificato le dure righe per la mia rete
<BR>INTNET="192.168.0.0/24"
<BR>INTIP="192.168.0.1" (server cui e´ collegato il modem adsl usb)
<BR>- in /etc/ppp/ip-up e ip-down inserito ripsettivamente
<BR>/etc/firewall/rc.firewall start e /etc/firewall/rc.firewall stop
<BR>- riavviato (non si sa mai)
<BR>- connesso ad internet
<BR>- lanciato lo script di condivisione internet scritto nel mio primo post (anche se dal file leggimi.txt avevo capito che era gia´ incluso negli script, ma la connessione non mi andava)
<BR>
<BR>a questo punto ho fatto la prova con azureus e continua a darmi errore NAT per le porte da 6881 a 6889
<BR> :-o
<BR>
<BR>sono certo di sbagliare ancora qualcosa...
<BR>
<BR>

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

domanda su firewall

Messaggio da useless »

presupponendo che l´ip del pc su cui usi azureus sia 192.168.0.5, devi ancora creare in /etc/firewall 2file "tcp-192.168.0.5" e "udp-192.168.0.5", entrambi col seguente contenuto:
<BR>6881::Azureus 1
<BR>6882::Azureus 2
<BR>6883::Azureus 3
<BR>6884::Azureus 4
<BR>6885::Azureus 5
<BR>6886::Azureus 6
<BR>6887::Azureus 7
<BR>6888::Azureus 8
<BR>6889::Azureus 9
<BR>
<BR>altrimenti come può sapere cosa mappare e dove? fatto questo rc.firewall restart

Rispondi