[conf] iptables server intranet lento

rota · l33t Joined: 13 Aug 2003 Posts: 960

bella pero ricordiamoci unacosa .. che qualsiasi sia il firewall dobbiamo vedere qaunta memoria a di defoult la cache ( creddo che si chiami cosi .. ) perche probabilmente la lentezza di iptables dipende da questo ..cioe che a finito la cache a suadisposizzione..

o io creddo di vere detto una cosa sensata.. pero da profano posso sbagliare .che nessuno me ne voglia

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

la cache di cosa?

Non mi pare proprio che iptables abbia dei requisiti esosi di sistema.
Un 486 gia' fa il suo dovere senza problemi :roll:

che intendi?

ciao
_________________
while True:Gentoo()

arnor · Tux's lil' helper Joined: 01 Nov 2004 Posts: 147

per ora ho fatto il portatile, questo pomeriggio spero di riuscire a mettere le mani sul server.
la macchina server ha 2 interfacce di rete eth0 e eth1

eth0 -> WAN
eth1 -> LAN

su eth0 tutto chiuso tranne openvpn,ftp, https
su eth1 che apre sulla rete LAN interna abilitare una navigazione full verso l'esterno e l'accesso a diversi servizi:
- samba
- ssh
- cvsd
- http

non credo che ci metterò 5' ma l'obbiettivo è questo

ciao lorenzo

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

per openvpn usa il file /etc/shorewall tunnel

ciao
_________________
while True:Gentoo()

arnor · Tux's lil' helper Joined: 01 Nov 2004 Posts: 147

sul portatile ho configurato e funziona egregiamente.
C'è solo una cosa che non capisco. Nel file /etc/shorewall/rules ho inserito queste righe:

####################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
ACCEPT net all tcp 22,80
ACCEPT net all icmp

ho fatto un nmap e mi risulta che c'è aperta la porta 143. perchè? è un default?
cmq se ho detto chiudi tutto non dovebbe farlo?

cmq grazie. Ora provo sul server

ciao lorenzo

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

premesso che quelle regole andrebbero modificate...

net all e' sempre da evitare!

meglio
net fw .....

dovrei vedere la config per valutare...
se fai un tar.gz e me lo mandi ti posso aiutare.

oppure posta i soliti 3-4 file

ciao
_________________
while True:Gentoo()

arnor · Tux's lil' helper Joined: 01 Nov 2004 Posts: 147

sono molto soddisfatto, dopo 1 ora ho gia la macchina configurata e funzionante. Mi manca capire alcuni dettagli.

questo il mio scan con nmap:

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

alura..

la prossima volta il codice mettilo tra tag [code] [ / code]

che non si capisce una mazza

la porta 113 non e' aperta!

e' solo che nel file common.def e' specificato di fare un reject... quindi la macchina che scanna da correttamente closed!

ho notato un errore in rules:

se metti:

zona1 zona2 ACCEPT

mettilo in policy che ha + senso

riguardo il discorso fw non ho capito cosa intendi

puoi fare in 2 modi per lo startup script.
o lasci solo shorewall
o lasci iptables con la configuarazione salvata dopo aver lanciato shorewall (+ veloce)

io preferisco lasciare shorewall di default perche' a ogni riavvio mi legge la config aggiornata.
_________________
while True:Gentoo()

rota · l33t Joined: 13 Aug 2003 Posts: 960

o solo detto la mia ..... :oops:

pero potrebbe vedere quanta memoria occupano i servizzi aperti no ????

sempre da profano...

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

rota...
non ti ho mica aggredito

diciamo che quanta memoria portano via i servizi e' qualche cosa che esula dal argomento firewall.

ciao
_________________
while True:Gentoo()

rota · l33t Joined: 13 Aug 2003 Posts: 960

ok... soc stato un po permaloso ...

non me nevolere ...

AlterX · l33t Joined: 03 Apr 2004 Posts: 754 Location: rm -rf /*

uhm...se vuoi un mio parere, lascia perdere iptables come modulo nel kernel
o quasiasi altra forma di automatismo.
Anche perchè cavolo ci sono trentamila regole!!

Io uso iptables separatamente, mi creo il mio scriptino e lo avvio
come servizio. Risultato: 10/15 regole e ora (su mandrake) una scheggia!!
Trasparenza assoluta e nessuna lentezza!
Scarico a banca larga e massimale nonostante il filtraggio/natting
Ora sto ultimando la stessa configurazione con una gentoo (molto più performante perchè da stage1 e prelinkata :wink:

)
e la sto per mettere in produzione...
se vuoi ti faccio sapere come va con la gentoo, ma se va come una spada una mandrake, figurati una gentoo!!! :wink:

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

non sono molto d'accordo.

primo: con 15 regole la vedo dura ignorare IP rfc1918
secondo: se lanci shorewall - salvi il tutto con iptables-save che differenza abbiamo in fase di start? 10 ms? ... no troppo
terzo: firewall con 3,4,5,6 zone: 15 regole non bastano di sicuro (a meno che non usi 3 policy di default di DROP :lol:

)
(e con shorewall ti assicuro che scrivi molto,molto meno)

Parlare di regole pesanti o meno mi sembra proprio assurdo.
Un 486 che lavori come firewall a 3 zone (e non offra servizi pesanti come VPN) e sempre adeguato.
Il che la dice lunga sulla pesantezza

Se cerchiamo di snellire la macchina... cerchiamo altrove.. che e' meglio!
del tutto IMHO

ciao
_________________
while True:Gentoo()

AlterX · l33t Joined: 03 Apr 2004 Posts: 754 Location: rm -rf /*

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

scusa...
ma hai su http e vnc e ti preoccupi per il carico delle regole di iptables? :roll:

cmq.. ognuno e' libero di pensarla come vuole.

Resta di fatto che iptables non e' uno strumento per tutti.
iptables per la sua totale configurabilita' e' complesso da utilizzare e mantenere

Quindi a mio avviso sia i principianti che gli advanced user possono trarre vantaggio da un tool come shorewall.

ciao

EDIT: nessun tentativo di intrusione? a che serve il firewall?
_________________
while True:Gentoo()

AlterX · l33t Joined: 03 Apr 2004 Posts: 754 Location: rm -rf /*

arnor · Tux's lil' helper Joined: 01 Nov 2004 Posts: 147

grazie ho coretto il file con le rules.

Per quanto riguarda la zone "fw" l'incomprensione nasce perchè nel file di gentoo /etc/shorewall/zones di default "fw" non è presente. Viene citato in shorewall.conf
A me questo cosa a inizialmente disorientato.

Tutto qui.... ora mi sto lanciando ad installare il nostro nuovo webserver e userò nuovamente shorewall

Veramente bello, ancora grazie per avermi fatto conoscere questa utility
... la vpn l'ho rimandata di qualche giorno perchè mi pare un po' più ostica...

ciao lo

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

si posso comprendere...
infatti nella guida dicevo che una "zona logica" e' gia' definita di default

sono contento che lo apprezzi.
Altra cosa comoda... il debug in caso di problemi e' banale

la vpb con openvpn viene su che e' una bellezza

Ricorda il file tunnels. (oppure se preferisci avere tutto nelle rules metti ACCET net:altro_host fw udp 5000
ciao
_________________
while True:Gentoo()

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

shorewall gestisce anche configurazioni bridged ?

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

dipende a che livello vuoi il firewall...

se vuoi fare filtering sulle 2 (supponiamo) interfacce che fanno il bridge la risposta e' no. (perche' devi usare ebtables)
se e' sufficiente considerare br0 allora si... e' come una qualunque interfaccia.

ciao

_________________
while True:Gentoo()

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

xchris · Advocate Joined: 10 Jul 2003 Posts: 2824

mi correggo!

non sapevo si potesse fare senza ebtables...

ecco con shorewall:

http://www.shorewall.net/bridge.html

ciao
_________________
while True:Gentoo()

makoomba · Bodhisattva Joined: 03 Jun 2004 Posts: 1856

ok, allora c'è speranza

grazie per il link