domanda su firewall

da **scibilo** » lun feb 28, 2005 13:28

ciao a tutti, ho letto vari tutorial su iptables ma ho ancora molti dubbi... spiego la situazione 3 pc 1 pc: 192.168.0.1, un vecchio pentium II 300 Mhz, c´e´ una debian cui e´ collegato un modem adsl usb; vorrei facesse da server, firewall e proxy(quando lo installero´) 2 pc: 192.168.0.2, un notebook con su una slackware current, questa mi fa da server web (in realta´ ci provo i vari cms o script php) 3 pc: 192.168.0.3, windows xp pro su un vecchio celeron 450 mhz tutti collegati attraverso uno switch e adsl condivisa attraverso la debian non vorrei dover utilizzare prodotti come guarddog e simili, così per la condivisione e firewall, in debian ho questo script che lancio dopo la connessione: echo ´0´> /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT echo ´1´> /proc/sys/net/ipv4/ip_forward e´ uno script valido come firewall? Dovrei aggiungere altre regole? Lo chiedo perche´ ho notato una certa lentezza nella connessione con la slackware e windows, soprattutto con programmi come azureus e amule (quest´ultimo neanche si connette) azureus mi da problemi di nat sulla porta settata suggerimenti? grazie ;-)

da **useless** » lun feb 28, 2005 18:39

eh appunto, devi fare del portmapping. ti consiglio di dare un´occhio al mio firewall che c´è qua in giro e utilizzare lo script portmap, che rende il tutto semplice e indolore.

da **scibilo** » mar mar 01, 2005 13:37

dunque, ho prelevato il tuo firewall e letto la guida vediamo se ho capito bene, una specie di passo passo for donkey come me: - prendo la directory firewall e la metto in /etc, nella mia debian (visto che e´ questa che mi fa da server e condivide la connessione; se e´ il caso di cambiare e mettere slack per questo lo faccio subito ;-)

) - a questo punto lo script di cui sopra per la nat deve essere lanciato lo stesso? - lancio rc.firewall start dopo essermi connesso e stop per sconnettermi ho letto che devo configurare portmap per la mia rete, ma dando un´occhiata allo script non ho capito dove devoconfigurarlo; in piu´ nel file blocked_ips c´e´ questo: # No private IP´s - Maybe these are already filtered by the # UNCLEAN match? 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 verra´ bloccata la mia rete in questo modo? abbi pazienza per le domandi banali :-] ciao e ancora grazie

da **useless** » mar mar 01, 2005 18:40

be´, ti ho consigliato di usare solo portmap, non l´intero fw, cosa che comunque dovrebbe essere indolore

. i file di configurazione di portmap si chiamano tipo: tcp-192.168.0.1 e contengono righe del tipo 8080:80:server web in questo esempio le connessioni sulla porta 8080 dell´ip pubblico verrano ridirezionate sulla porta 80 di 192.168.0.1 ("server web" è una descrizione a tuo uso e consumo. se la porta destinazione è la stessa sorgente puoi semplicemente lasciarla vuota (80::server web). quanto a blocked_ips: le connessioni con gli ip contenuti in quel file saranno bloccate solo quando provengono dall´esterno. non c´è nessuna limitazione sul traffico interno (un punto che credo sia poco chiaro in generale è che i gateway/firewall stanno a cavallo tra due sottoreti e decidono cosa passa o non passa TRA di esse, non SU di esse). comunque x usare il fw fai tutto bene: io lancio rc.firewall da ip-up, ma puoi anche lanciarlo a mano o da rc.local se hai router (nel qual caso comunque non serve a niente :-D

). ricordati di modificare "online" a tuo uso e consumo (metti almeno gli ip corretti nelle 2 righe dove sono).

da **scibilo** » mer mar 02, 2005 18:56

scusa l´insistenza (magari ne esce un how-to ;-)

), almeno faccio le cose per bene; comincio a capire qualcosina non conoscevo l´esistenza di ip-up, da quel che ho capito fa partire dei comandi dopo che la connessione ad internet e´ stata stabilita ok, a questo punto, prendo la directory firewall e la butto in /etc - come configuro ip-up in modo che dopo la connessione il tutto parti in automatico? - sono queste le due righe in "online" da modificare per la mia rete? INTNET="10.0.6.0/24" (suppongo qui 192.168.0.0/24) INTIP="10.0.6.5" (qui? :-o

) in un tuo precedente intervento davi questo comando per abilitare una porta: iptables -t nat -A PREROUTING -p udp --dport 32775 -j DNAT --to riguardo ad un programma il problema e´ che non ho idea come usare il portmapping, quindi il tuo firewall puo´ essermi molto utile grazie ciao

da **useless** » gio mar 03, 2005 15:02

INTIP è l´ip del pc in questione sulla rete, tipo 192.168.0.1. giusto tutto il resto, alla fin fine quello che lo script portmap fa è lanciare quel comando iptables coi parametri che legge dai vari file tcp-x.x.x.x. in ip-up metti alla fine: /etc/firewall/rc.firewall start e in ip-down: /etc/firewall/rc.firewall stop

da **scibilo** » ven mar 04, 2005 11:44

resoconto: - in /etc inserito directory firewall - file "online": modificato le dure righe per la mia rete INTNET="192.168.0.0/24" INTIP="192.168.0.1" (server cui e´ collegato il modem adsl usb) - in /etc/ppp/ip-up e ip-down inserito ripsettivamente /etc/firewall/rc.firewall start e /etc/firewall/rc.firewall stop - riavviato (non si sa mai) - connesso ad internet - lanciato lo script di condivisione internet scritto nel mio primo post (anche se dal file leggimi.txt avevo capito che era gia´ incluso negli script, ma la connessione non mi andava) a questo punto ho fatto la prova con azureus e continua a darmi errore NAT per le porte da 6881 a 6889 :-o

sono certo di sbagliare ancora qualcosa...

da **useless** » ven mar 04, 2005 15:12

presupponendo che l´ip del pc su cui usi azureus sia 192.168.0.5, devi ancora creare in /etc/firewall 2file "tcp-192.168.0.5" e "udp-192.168.0.5", entrambi col seguente contenuto: 6881::Azureus 1 6882::Azureus 2 6883::Azureus 3 6884::Azureus 4 6885::Azureus 5 6886::Azureus 6 6887::Azureus 7 6888::Azureus 8 6889::Azureus 9 altrimenti come può sapere cosa mappare e dove? fatto questo rc.firewall restart

Chi c’è in linea