Repository 32bit  Forum
Repository 64bit  Wiki

Bloccare accessi su ETH1

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Bloccare accessi su ETH1

Messaggioda andy-x » dom lug 11, 2010 12:05

Salve.
Vi descrivo lo scenario... ETH0 per servire la rete di PC con samba opportunamente bloccata sulla ETH1.
ETH1 per fare aggiornamenti antivirus e aggiornamenti di sicurezza una volta al giorno collegato al modem ADSL ma non deve fare gateway.... in azienda non vogliono che internet sia accessibile....
Allora io pensavo di spengere e accendere con ifconfig la scheda..... domanda c'e' possibilità di riaccendere la NIC da internet dopo un ifconfig eth1 down?

Altra domanda (scusate!!!) potrei fare lo stesso con iptables? ETH0 solo per rete interna ... ETH1 solo per Internet senza gateway per i PC e senza accessi dall'esterno? (in pratica usare internet solo dal server per aggiornamenti e basta)

Scusate se le domande sono da idiota..... :(
Avatar utente
andy-x
Linux 2.0
Linux 2.0
 
Messaggi: 139
Iscritto il: lun lug 13, 2009 10:19
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde

Re: Bloccare accessi su ETH1

Messaggioda conraid » dom lug 11, 2010 12:10

semplicemente non devi fare niente, di default il forwarding è disabilitato

io mi preoccuperei della parte SERVER<->MODEM, nel senso che devi proteggere il server, iptables in questo senso può essere utile soprattutto se collegato direttamente al modem
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12023
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Bloccare accessi su ETH1

Messaggioda andy-x » dom lug 11, 2010 14:18

Grazie Conraid ma non ho capito.... il mio caso e' questo:

ADSL ----> ETH1-SERVER-ETH0 ----> PC

Io vorrei bloccare l'accesso di tutti i pacchetti e tutte le porte in ingresso su eth1 e scaricare solo quello che voglio (leggi freshclam e wget di pacchetti *.tgz).
da dove si vede l'abilitazione del forwarding?
Grazie.

Edit
Trovato per vedere il foward
Codice: Seleziona tutto
cat /proc/sys/net/ipv4/ip_forward
Avatar utente
andy-x
Linux 2.0
Linux 2.0
 
Messaggi: 139
Iscritto il: lun lug 13, 2009 10:19
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde

Re: Bloccare accessi su ETH1

Messaggioda conraid » dom lug 11, 2010 16:18

se ti serve solo quello blocchi tutto tramite iptables, poi puoi fare uno script che ti apre solamente le porte di cui hai bisogno per il tempo di cui ne hai bisogno, qualcosa tipo

Codice: Seleziona tutto
    /usr/sbin/iptables -P INPUT DROP
    /usr/sbin/iptables -P OUTPUT DROP
    /usr/sbin/iptables -P FORWARD DROP

di default

e poi

Codice: Seleziona tutto
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
freshclam
slackpkg check-updates
/usr/sbin/iptables -D INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -P OUTPUT DROP

quando vuoi controllare aggiornamenti

naturalmente è solo un esempio buttato li, non sono nemmeno sicuro delle regole di iptables, quindi non copiarlo :p
c'è anche OUTPUT ad ACCEPT che non è che vada tanto bene in un server
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12023
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Bloccare accessi su ETH1

Messaggioda albatross » dom feb 06, 2011 13:35

attenzione che con i DROP finali blocchi il traffico su tutte le interfacce...
devi sempre lasciare una regola che permetta il traffico verso le rotte dell'interfaccia eth0 (la lan interna) altrimenti anche quest'ultime verrano scartate..
albatross
Linux 1.0
Linux 1.0
 
Messaggi: 97
Iscritto il: lun ott 20, 2003 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron