Bloccare accessi su ETH1
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- andy-x
- Linux 1.x
- Messaggi: 139
- Iscritto il: lun 13 lug 2009, 11:19
- Slackware: 12.2
- Kernel: 2.6.27.7
- Desktop: kde
Bloccare accessi su ETH1
Salve.
Vi descrivo lo scenario... ETH0 per servire la rete di PC con samba opportunamente bloccata sulla ETH1.
ETH1 per fare aggiornamenti antivirus e aggiornamenti di sicurezza una volta al giorno collegato al modem ADSL ma non deve fare gateway.... in azienda non vogliono che internet sia accessibile....
Allora io pensavo di spengere e accendere con ifconfig la scheda..... domanda c'e' possibilità di riaccendere la NIC da internet dopo un ifconfig eth1 down?
Altra domanda (scusate!!!) potrei fare lo stesso con iptables? ETH0 solo per rete interna ... ETH1 solo per Internet senza gateway per i PC e senza accessi dall'esterno? (in pratica usare internet solo dal server per aggiornamenti e basta)
Scusate se le domande sono da idiota.....
Vi descrivo lo scenario... ETH0 per servire la rete di PC con samba opportunamente bloccata sulla ETH1.
ETH1 per fare aggiornamenti antivirus e aggiornamenti di sicurezza una volta al giorno collegato al modem ADSL ma non deve fare gateway.... in azienda non vogliono che internet sia accessibile....
Allora io pensavo di spengere e accendere con ifconfig la scheda..... domanda c'e' possibilità di riaccendere la NIC da internet dopo un ifconfig eth1 down?
Altra domanda (scusate!!!) potrei fare lo stesso con iptables? ETH0 solo per rete interna ... ETH1 solo per Internet senza gateway per i PC e senza accessi dall'esterno? (in pratica usare internet solo dal server per aggiornamenti e basta)
Scusate se le domande sono da idiota.....
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Bloccare accessi su ETH1
semplicemente non devi fare niente, di default il forwarding è disabilitato
io mi preoccuperei della parte SERVER<->MODEM, nel senso che devi proteggere il server, iptables in questo senso può essere utile soprattutto se collegato direttamente al modem
io mi preoccuperei della parte SERVER<->MODEM, nel senso che devi proteggere il server, iptables in questo senso può essere utile soprattutto se collegato direttamente al modem
- andy-x
- Linux 1.x
- Messaggi: 139
- Iscritto il: lun 13 lug 2009, 11:19
- Slackware: 12.2
- Kernel: 2.6.27.7
- Desktop: kde
Re: Bloccare accessi su ETH1
Grazie Conraid ma non ho capito.... il mio caso e' questo:
ADSL ----> ETH1-SERVER-ETH0 ----> PC
Io vorrei bloccare l'accesso di tutti i pacchetti e tutte le porte in ingresso su eth1 e scaricare solo quello che voglio (leggi freshclam e wget di pacchetti *.tgz).
da dove si vede l'abilitazione del forwarding?
Grazie.
Edit
Trovato per vedere il foward
ADSL ----> ETH1-SERVER-ETH0 ----> PC
Io vorrei bloccare l'accesso di tutti i pacchetti e tutte le porte in ingresso su eth1 e scaricare solo quello che voglio (leggi freshclam e wget di pacchetti *.tgz).
da dove si vede l'abilitazione del forwarding?
Grazie.
Edit
Trovato per vedere il foward
Codice: Seleziona tutto
cat /proc/sys/net/ipv4/ip_forward
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Bloccare accessi su ETH1
se ti serve solo quello blocchi tutto tramite iptables, poi puoi fare uno script che ti apre solamente le porte di cui hai bisogno per il tempo di cui ne hai bisogno, qualcosa tipo
di default
e poi
quando vuoi controllare aggiornamenti
naturalmente è solo un esempio buttato li, non sono nemmeno sicuro delle regole di iptables, quindi non copiarlo
c'è anche OUTPUT ad ACCEPT che non è che vada tanto bene in un server
Codice: Seleziona tutto
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P OUTPUT DROP
/usr/sbin/iptables -P FORWARD DROP
e poi
Codice: Seleziona tutto
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
freshclam
slackpkg check-updates
/usr/sbin/iptables -D INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -P OUTPUT DROP
naturalmente è solo un esempio buttato li, non sono nemmeno sicuro delle regole di iptables, quindi non copiarlo
c'è anche OUTPUT ad ACCEPT che non è che vada tanto bene in un server
Re: Bloccare accessi su ETH1
attenzione che con i DROP finali blocchi il traffico su tutte le interfacce...
devi sempre lasciare una regola che permetta il traffico verso le rotte dell'interfaccia eth0 (la lan interna) altrimenti anche quest'ultime verrano scartate..
devi sempre lasciare una regola che permetta il traffico verso le rotte dell'interfaccia eth0 (la lan interna) altrimenti anche quest'ultime verrano scartate..