Bloccare accessi su ETH1

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
andy-x
Linux 1.x
Linux 1.x
Messaggi: 139
Iscritto il: lun 13 lug 2009, 11:19
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde

Bloccare accessi su ETH1

Messaggio da andy-x »

Salve.
Vi descrivo lo scenario... ETH0 per servire la rete di PC con samba opportunamente bloccata sulla ETH1.
ETH1 per fare aggiornamenti antivirus e aggiornamenti di sicurezza una volta al giorno collegato al modem ADSL ma non deve fare gateway.... in azienda non vogliono che internet sia accessibile....
Allora io pensavo di spengere e accendere con ifconfig la scheda..... domanda c'e' possibilità di riaccendere la NIC da internet dopo un ifconfig eth1 down?

Altra domanda (scusate!!!) potrei fare lo stesso con iptables? ETH0 solo per rete interna ... ETH1 solo per Internet senza gateway per i PC e senza accessi dall'esterno? (in pratica usare internet solo dal server per aggiornamenti e basta)

Scusate se le domande sono da idiota..... :(

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Bloccare accessi su ETH1

Messaggio da conraid »

semplicemente non devi fare niente, di default il forwarding è disabilitato

io mi preoccuperei della parte SERVER<->MODEM, nel senso che devi proteggere il server, iptables in questo senso può essere utile soprattutto se collegato direttamente al modem

Avatar utente
andy-x
Linux 1.x
Linux 1.x
Messaggi: 139
Iscritto il: lun 13 lug 2009, 11:19
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde

Re: Bloccare accessi su ETH1

Messaggio da andy-x »

Grazie Conraid ma non ho capito.... il mio caso e' questo:

ADSL ----> ETH1-SERVER-ETH0 ----> PC

Io vorrei bloccare l'accesso di tutti i pacchetti e tutte le porte in ingresso su eth1 e scaricare solo quello che voglio (leggi freshclam e wget di pacchetti *.tgz).
da dove si vede l'abilitazione del forwarding?
Grazie.

Edit
Trovato per vedere il foward

Codice: Seleziona tutto

cat /proc/sys/net/ipv4/ip_forward

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Bloccare accessi su ETH1

Messaggio da conraid »

se ti serve solo quello blocchi tutto tramite iptables, poi puoi fare uno script che ti apre solamente le porte di cui hai bisogno per il tempo di cui ne hai bisogno, qualcosa tipo

Codice: Seleziona tutto

    /usr/sbin/iptables -P INPUT DROP
    /usr/sbin/iptables -P OUTPUT DROP
    /usr/sbin/iptables -P FORWARD DROP
di default

e poi

Codice: Seleziona tutto

/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
freshclam
slackpkg check-updates
/usr/sbin/iptables -D INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -P OUTPUT DROP
quando vuoi controllare aggiornamenti

naturalmente è solo un esempio buttato li, non sono nemmeno sicuro delle regole di iptables, quindi non copiarlo :p
c'è anche OUTPUT ad ACCEPT che non è che vada tanto bene in un server

albatross
Linux 0.x
Linux 0.x
Messaggi: 97
Iscritto il: mar 21 ott 2003, 0:00
Contatta:

Re: Bloccare accessi su ETH1

Messaggio da albatross »

attenzione che con i DROP finali blocchi il traffico su tutte le interfacce...
devi sempre lasciare una regola che permetta il traffico verso le rotte dell'interfaccia eth0 (la lan interna) altrimenti anche quest'ultime verrano scartate..

Rispondi