Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
shorewall
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
rota
l33t
l33t


Joined: 13 Aug 2003
Posts: 960

PostPosted: Sat Mar 26, 2005 4:36 am    Post subject: shorewall Reply with quote

ciao a tutti ... è tutta la notte che sto provando shorewal

allora io o un macchina ...dovve eth0 va diretta a fastweb....

la macchina a solo una interfaccia di rete...

questa macchina devve fare da web server ( apache ....)

siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina....
spero che me la lasciate andare (sapiamo tutti che è poco sicuro sta vonfigurazzione pero ...me tocca fare cosi ...tanto è il mio server beta cioè dovve ci faccio le provve .....:wink: )
allora io o impostato il file
Quote:
/etc/shorewall/rules.gz


in questo modo...

Quote:

AllowWeb loc fw

2 cose che non o capito :


1) che diferenzza cè tra

Quote:
AllowWeb loc fw

è
Quote:
AllowWeb fw net




se o capito bene devvo fare riferimento a questo...( o apena letto sta cosa ..http://www.shorewall.net/Documentation.htm#Zones )

Quote:
#ZONE DISPLAY COMMENTS
net Net Internet
loc Local Local networks
dmz DMZ Demilitarized zone


percio se voglio che il server comunichi con l'esterno devvo fare cosi...

Quote:
AllowWeb fw net



2) se capito bene devo editare il file /usr/share/shorewall/action.AllowWeb

in questo modo ...

Quote:

ACCEPT fw net tcp 80
ACCEPT fw net tcp 443




oppure devvo editarlo ( sto parlando sempre di " ACCEPT fw net tcp 80 ")
nel file :
Quote:

/etc/shorewall/rules.gz
:?: :?: :?:


poi una cosa che mi stavo chiedendo ....ma tutto cio che non scrivvo in questo file /etc/shorewall/rules.gz cosa ducedde ??? chiude i servizzi..o cosa??
se sto sbagliando ...allora come faccio a chiudere le porte ecc ??javascript:emoticon(':?:')
perche se esiste l'opzione AllowDNS devve eserci anche un DennyDNS NO ????:?: :?:

quello che non mi è chiaro ...se io voglio fare un web server bsta che metto sta riga
Code:
AllowWeb    loc       fw
e shorewal mi creea tutte le regole ???
Quote:

leggendo http://www.shorewall.net/two-interface.htm


Example 3. Web Server on Firewall

You want to run a Web Server on your firewall system:

#ACTION SOURCE DEST PROTO DEST PORT(S)
AllowWeb net fw
AllowWeb loc fw


non o capito perche fà sta cosa....

:cry: :cry:
o altre cose da chiare pero prima spiegateme sta cosa per favore ..perche non mi èchiara......:oops: :oops:
Back to top
View user's profile Send private message
rota
l33t
l33t


Joined: 13 Aug 2003
Posts: 960

PostPosted: Sat Mar 26, 2005 7:07 pm    Post subject: Reply with quote

o fatto un casino.....

o editato il file /etc/shorewal/rules in questo modo

Quote:
# bloccare l'host con indirizzo 1.2.3.4 perche' non e' gradito.
#DROP net:1.2.3.4/32 fw
#accettare connessioni sulle porte TCP
ACCEPT net fw tcp 80
ACCEPT net fw tcp 443
#accesso alle porte
#ACCEPT net:192.168.0.1/10 fw tcp 22



se faccio shorewall start


non vaddo piu su internet....

non riesco manco a pingare :cry: :cry:

posto anche il file
/etc/shorewall/policy
Quote:


fw net ACCEPT
net all DROP info
all all REJECT info
Back to top
View user's profile Send private message
.:deadhead:.
Advocate
Advocate


Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy

PostPosted: Sat Mar 26, 2005 10:44 pm    Post subject: Reply with quote

giusto per partire dalle cose semplici e funzionali dai un occhio qua http://www.xchris.net/index.php?page=Shorewall_1
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! ;)
Back to top
View user's profile Send private message
rota
l33t
l33t


Joined: 13 Aug 2003
Posts: 960

PostPosted: Sat Mar 26, 2005 10:46 pm    Post subject: Reply with quote

gial letta...o seguito propio quella guida...

m...o resetato tutte le conf ...

come prima cosa o editato

ZONES

in questo modo ...


net Net Internet

soloche quando faccio partire shorewal mi dàquesto erorre....

Error: No appropriate chain for zone fw to zone net
Terminated


io o fastweb e il pc in questione sta colegato fisicamente afastweb senzza essere parte di una rete


avevo sbagliato a scrivere......nell file ZONES perche avevo fatto copia incolla e mi aveva creeato dei spazzi ....

adesso o seguito la guida pero niente mi blocca tutto .....:cry:
Back to top
View user's profile Send private message
arnor
Tux's lil' helper
Tux's lil' helper


Joined: 01 Nov 2004
Posts: 147

PostPosted: Sun Mar 27, 2005 8:30 pm    Post subject: Reply with quote

ciao rota,

a mio avviso hai fatto un po' di casino con i file di shorewall. fai un reset e ricomincia dall'inizio tenendo presente:
1) creare la zona net (togliere il commento) /etc/shorewall/zones
2) andare in /etc/shorewall/policy e verificare che tutto quello che arriva dall'esterno (net) venga DROPPATO
3) aggiungere il concetto che da "fw" a "net" le connessioni sono accettate (io metto tutte solitamente)
3) modificare le rules aprendo le porte che interessano
4) shorewall check per verificare che le regole siano formalmente corette

ciao Lorenzo

ps. Purtroppo ora sono su win e non posso girarti i conf.
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Sun Mar 27, 2005 8:39 pm    Post subject: Reply with quote

uhm... secondo me è più semplice usare iptables, soprattutto in un caso come questo, in cui si ha da gestire una quantità ridicola di connessioni.
quello che non mi è chiaro, però, è perché tu voglia assolutamente mettere un firewall, se, come dici, questa è l'unica macchina di cui disponi:
Quote:
siccome all momento non o altre macchine a disposizione...mi tocca mettere anche il firewall sulla stessa macchina...

se non devi fare routing per una rete privata, del firewall te ne puoi anche fregare alla grande...
Back to top
View user's profile Send private message
rota
l33t
l33t


Joined: 13 Aug 2003
Posts: 960

PostPosted: Sun Mar 27, 2005 8:59 pm    Post subject: Reply with quote

8O come perche ???

vabbe....

comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un motivo serio....:roll: :roll:
è mi sto imparando sia iptables che altri firewall tutto qui ...piu se ne sà meglio no???

linux è sicuro solo se lo rendi tale .....:wink:
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Sun Mar 27, 2005 9:07 pm    Post subject: Reply with quote

rota wrote:
comunque..voglio imparare ad usare shorewall ...perche mi va...non cè un motivo serio....:roll: :roll:
è mi sto imparando sia iptables che altri firewall tutto qui ...piu se ne sà meglio no???
linux è sicuro solo se lo rendi tale .....:wink:


ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...
secondo te che perché dovrebbe esserciun firewall su una macchina?

esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.
non ha alcun senso un firewall che ti chiuda delle porta che sono già chiuse. ha senso invece se tramite il firewall fai routing per una sottorete, o fai il mangling dei pacchetti, o fai un filtraggio sugli ICMP.
la prima opzione non ti serve (se non ho capito male) se altre due, a meno che non mi sbagli, shorewall non le fa, ma ti devi comunque appoggiare a iptables.
in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti".
Back to top
View user's profile Send private message
gutter
Bodhisattva
Bodhisattva


Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland

PostPosted: Sun Mar 27, 2005 10:44 pm    Post subject: Reply with quote

k.gothmog wrote:

ma il fatto che un firewall dia sicurezza è una mezza idea sbagliata che la gente si fa...
secondo te che perché dovrebbe esserciun firewall su una macchina?


Un firewall non "da sicurezza" dal momento che non esiste la sicurezza in termini assolutistici. Ma possiamo sicuramente affermare che contribuisce ad aumentare la sicurezza di una macchina.

k.gothmog wrote:

esempio... se tu hai installato il solo apache, l'unica porta aperta all'esterno sarà la 80. tutte le altre porte risultaranno chiuse, che tu abbia firewall o no.


X ad esempio l'hai dimenticato?!?

k.gothmog wrote:

in ogni caso è bene conoscere il funzionamento di iptables, prima di andare a usare tool più "evoluti".


Ecco l'unica cosa in quello che hai detto con cui concordo :wink:
_________________
Registered as User #281564 and Machines #163761
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Sun Mar 27, 2005 11:21 pm    Post subject: Reply with quote

gutter wrote:
X ad esempio l'hai dimenticato?!?

no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.
toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.
se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...

gutter wrote:
Ecco l'unica cosa in quello che hai detto con cui concordo :wink:

:? non capisco... perché non ti trovi d'accordo?
Back to top
View user's profile Send private message
quantumwire
Guru
Guru


Joined: 15 Oct 2003
Posts: 403
Location: Lausanne

PostPosted: Sun Mar 27, 2005 11:58 pm    Post subject: Reply with quote

Ragazzi... io mi sono impallato molto prima ovvero non so quali moduli devo compilare nel kernel per Shorewall... :oops:

Chi mi puo' aiutare?
_________________
HOWTO 1: Spegnere il laptop!
HOWTO 2: Comprimere i DVDs!
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 12:26 am    Post subject: Reply with quote

quantumwire wrote:
Ragazzi... io mi sono impallato molto prima ovvero non so quali moduli devo compilare nel kernel per Shorewall...

i soliti moduli che fanno parte del pacchetto netfilter. tutti quelli che trovi nel menu "packet filtering" o qualcosa di simile.
accetta però un consiglio: tentare di usare shorewall senza conoscere iptables è difficile e controproducente. dedicati prima a iptables :)
Back to top
View user's profile Send private message
rota
l33t
l33t


Joined: 13 Aug 2003
Posts: 960

PostPosted: Mon Mar 28, 2005 12:50 am    Post subject: Reply with quote

m....squsa allora io fino adesso non cio capito niente....di firewall

allora a che servve il firewall ??

come mi difendo dallo spoffing e atacchi simili ????

mi state dicendo che non o bisogno di firewall???

è quando ne o bisogno ?????
:?: :?: :?: :?: :?:

e poi squsa ma se non uso il firewall come le chiudo le porte ???

sia per linux che per windows.....:roll: :roll: io se ricordo bene il firewall servve per chidere le porte no????:?: :?:

m..pero mo che ci penso se io non attivo nessun servizzio ...automaticamente non apro nessuna porta.....

pero perche per windows diverso ?????

squste se parlo del nemico..solo che non ci sto capendo piu niente...:idea: :idea: :roll:
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 8:14 am    Post subject: Reply with quote

Quote:
allora a che servve il firewall ??

per come la vedo io, un firewall è superfluo su una macchina che non esporta servizi (quando non ho installato nessun server, insomma) e che non fa routing

Quote:
come mi difendo dallo spoffing e atacchi simili ????

parli di IP spoofing? ARP spoofing? ARP poisoning? MITM (Man In The MIddle)?
sei realmente convinto che un firewall possa difenderti da questo genere di attacchi? un firewall effettua solo un controllo sul traffico. fa passare quello che tu gli dici di far passare. non ti protegge da attacchi di questo tipo. al massimo (ma impegnandosi) potresti evitare ALCUNE tipologie di DoS (Denial of Service)

Quote:
e poi squsa ma se non uso il firewall come le chiudo le porte ???

quali porte? se non hai installato server sulla tua macchina le porte sono già chiuse per conto loro. se invece un server ce l'hai installato, le porte le devi aprire per forza:
Code:
telnet localhost 80
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused

come puoi vedere non ho bisogno di chiudere la porta 80 sulla mia macchina, perché è già chiusa.

Quote:
sia per linux che per windows.....:roll: :roll: io se ricordo bene il firewall servve per chidere le porte no????:?: :?:

quelle che sono già aperte

Quote:
m..pero mo che ci penso se io non attivo nessun servizzio ...automaticamente non apro nessuna porta.....

appunto :) vedi che ci capiamo :wink:

Quote:
pero perche per windows diverso ?????

windows ha un sacco di servizi attivi per default, e il solo netbios è un colabrodo. più che sufficiente per violare il sistema.
quello è un altro discorso. windows non può stare senza un personal firewall

Quote:
mi state dicendo che non o bisogno di firewall???
E quando ne o bisogno ?????

io ti sto dando un mio parere personale. quando non è indispensabile, ne faccio a meno. significa avere meno roba da manutenere e meno servizi attivi...
io preferisco usarlo quando ho bisogno di fare routing (il masquerading e il NAT li faccio tramite il firewall), quando voglio realizzare un buon filtraggio ICMP, o quando voglio il packet mangling, ma a parte la prima non sono soluzioni che si usano spesso, e non è nemmeno semplice implementarle.

io ti ho riportato un parere. io non l'ho implementato né a casa, né sul portatile (ovviamente), e nemmeno sui server in produzione... ne ho due senza firewall... non mi serve :)
Back to top
View user's profile Send private message
gutter
Bodhisattva
Bodhisattva


Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland

PostPosted: Mon Mar 28, 2005 8:15 am    Post subject: Reply with quote

k.gothmog wrote:
gutter wrote:
X ad esempio l'hai dimenticato?!?

no. X11 non ascolta più sulla 6000 per impostazione predefinita da qaundo è uscito xorg 6.8.1. è stata anche questa una scelta di sicurezza.


Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000.

k.gothmog wrote:

toricamente, in un sistema ben preparato, ogni server attivo dovrebbe ascoltare solo su localhost, a meno che effettivamente non debbano essere esportati servizi all'esterno.


Hai detto bene, teoricamente ;) Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema.

k.gothmog wrote:

se si realizza questo, ci si trova nella situazione in cui tutte le porte esterne (tranne quelle dei servizi che effettivamente si vuole esportare) sono già chiuse, quindi il firewall non farebbe altro che chiudere porte che sono di per sè già chiuse...


Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.


P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare un qualunque flame ;)
_________________
Registered as User #281564 and Machines #163761
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 8:24 am    Post subject: Reply with quote

Code:
Questo è vero fino a quando non lanci XDM. In tal caso il server si mette in ascolto sulla porta 6000.

davvero? sai che è una cosa a cui non ho mai fatto caso? oggi faccio un esperimento :)

Quote:
Hai detto bene, teoricamente ;) Io credo che il "costo" in termini informatcici di mettere su un firewall usando un tool come shorewall valga sicuramente l'aumento di sicurezza chq questo comporta nei confronti del sistema.

ma vedi... è proprio questo che non va secondo me: la convinzione che un firewall dia un aumento di sicurezza. io non vedo come questo sia possibile, nel momento in cui dico al firewall di chiudere porte che lo sono già di per sè...
in questo caso il firewall appare solo come una seccatura: un posto in più dove mettere le mani quella volta che decido di fare qualche prova con i servizi esportati

Quote:
Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.

uhm... non è il più felice degli esempi che potessi fare :D

Quote:
P.S.: Tutto ciò ovviamente IMVHO, lungi dal voler scatenare una qualunque flame ;)

ma ci mancherebbe... anzi... sarebbe bello magari radunare diverse opinioni e mettere insieme un qualcosa che porti un po' di luce, visto che sembra ci sia tanta confusione sull'argomento :)
Back to top
View user's profile Send private message
gutter
Bodhisattva
Bodhisattva


Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland

PostPosted: Mon Mar 28, 2005 8:31 am    Post subject: Reply with quote

k.gothmog wrote:


Quote:
Io credo che sia più facile mettere un firewall che controllare se un dato programma (ad esempio CUPS) faccia o no il binding a localhost.

uhm... non è il più felice degli esempi che potessi fare :D



Letto così non esprime la mia opinione ;)

Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale.
_________________
Registered as User #281564 and Machines #163761
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 8:41 am    Post subject: Reply with quote

gutter wrote:
Ti faccio un esempio, io ho installato più di un sw sulla mia macchina che apre delle connessioni su TCP. Credo che la migliore soluzione sia quella di mettere un firewall piusttosto che controllare una ad una se le applicazioni fanno o no il binding in locale.

beh... su questo siamo d'accordo. però in un contesto "normale" sarebbero aperte solo le porte di pochissimi servizi e teoricamente dovrebbero essere tutte su localhost
Quote:
netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:989 0.0.0.0:* LISTEN

avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché :)
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 8:56 am    Post subject: Reply with quote

k.gothmog wrote:
avevi ragione: lancinando X da GDM apre la porta 6000... devo assolutamente scoprire perché :)

mistero risolto! :)
in /etc/X11/gdm/gdm.conf è sufficiente impostare al direttiva DisallowTCP a "false" e non viene più aperta la porta 6000 :)
Back to top
View user's profile Send private message
mouser
Veteran
Veteran


Joined: 10 Aug 2004
Posts: 1419
Location: Milano

PostPosted: Mon Mar 28, 2005 9:11 am    Post subject: Reply with quote

Vedi, k.gothmog, io sono d'acordo con quanto detto da gutter.
Hai ragione per quanto riguarda il fatto che il firewall ti chiude delle porte che, effettivamente, sono gia' chiuse.
E' anche vero che, non mettendo il firewall per questo motivo, ogni volta che lanci un qualsiasi programma (che sia un client, un server, un demone, un'interfaccia grafica, un wm, un gioco..... qualsiasi cosa) dovreisti testare che effettivamente non ti viene aperto nulla.
E visto che la sicurezza non e' cosa con cui scherzare ultimamente, io, personalmente, preferisco "chiudere tutto a chiave e spendere 5 minuti in piu' quando devo aprire una porta che lasciarle tutte accostate per poi doverle controllare ogni 2 giorni".

Quindi, sicuramente e' una cosa soggettiva (si puo' preferire avere una cosa in meno da configurare e avere qualcosa di incerto che viceversa)..... io credo che su un server (e che deve rimanere sicuro) e' sempre meglio installare un firewall e inserire come prima cosa un blocco totale in entrate ed in uscita di tutte le porte; dopodiche' inizio ad aprire quello che mi serve!
Come dice gutter, la reale sicurezza non esiste, ma mettere qualcosa in piu' non puo' fare che bene!

Ovviamente tutto IMHO
Ciriciao
mouser :wink:
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244

PostPosted: Mon Mar 28, 2005 9:54 am    Post subject: Reply with quote

Io ieri mi sono messo in testa di imparare a usare IPTABLES ... ma siccome con me gli approcci a forza bruta non funzionano ho pensato di installare Shorewall e poi vedere che regole impostava in iptables per realizzare quello che chiedevo. Tuttavia non ho ben capito una cosa. La mia rete è così disposta

Ho un router che fa da modem adsl e si connette ad internet. Poi ho una lan privata con 4 PC che si collegano ad internet via router. Al router è connesso anche un access point wireless ... per cui diciamo che ogni pc ha eth0 ed eth1 con cui si connette sia agli altri pc sia al router.

A questo punto leggendo le guide ho impostato i vari files di configurazione in questo modo (su uno dei PC collegati a questa rete, dato che ho diversi servizi aperti volevo fare un po di protezione assicurandomi che fossero raggiungibili solo dai PC della lan privata e non dall'esterno salvo eccezioni).

/etc/shorewall/interfaces
Quote:

#ZONE INTERFACE BROADCAST OPTIONS
- eth0 detect dhcp,nosmurfs
- eth1 detect dhcp,nosmurfs

(In quanto le due interfaccie sono collegate sia a net che a loc

/etc/shorewall/hosts
Quote:

loc eth0:ip_delle_macchine_locale
loc eth1:ip_delle_macchine_locali
net eth0:ip_del_router
net eth1:ip_del_router


/etc/shorewall/policy
Quote:

#SOURCE DEST POLICY LOG LIMIT:BURST
#
fw net ACCEPT
fw loc ACCEPT
loc fw ACCEPT info
net all DROP info
all all REJECT innfo


E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)
Perchè se attivo il firewall invece blocca tutto il traffico?[/quote]
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 10:10 am    Post subject: Reply with quote

Taglia wrote:
E nelle rules ho permesso che fw crei connessioni http e dns (tanto per iniziare)
Perchè se attivo il firewall invece blocca tutto il traffico?

posta l'output di "iptables-save" e "iptables-save -t nat"
(non puoi pretendere di usare shorewall se non impari prima iptables)
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244

PostPosted: Mon Mar 28, 2005 11:39 am    Post subject: Reply with quote

iptables-save
Quote:

# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*nat
:PREROUTING ACCEPT [2:660]
:POSTROUTING ACCEPT [11:667]
:OUTPUT ACCEPT [11:667]
COMMIT
# Completed on Mon Mar 28 13:36:33 2005
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*mangle
:PREROUTING ACCEPT [393:392854]
:INPUT ACCEPT [392:392278]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [301:29957]
:POSTROUTING ACCEPT [298:29786]
:outtos - [0:0]
:pretos - [0:0]
-A PREROUTING -j pretos
-A OUTPUT -j outtos
-A outtos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A outtos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A outtos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10
-A pretos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08
-A pretos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08
COMMIT
# Completed on Mon Mar 28 13:36:33 2005
# Generated by iptables-save v1.2.11 on Mon Mar 28 13:36:33 2005
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:DropDNSrep - [0:0]
:DropSMB - [0:0]
:DropUPnP - [0:0]
:Reject - [0:0]
:RejectAuth - [0:0]
:RejectSMB - [0:0]
:all2all - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:icmpdef - [0:0]
:loc2fw - [0:0]
:loc_frwd - [0:0]
:net2all - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -j Reject
-A INPUT -m limit --limit 10/min -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -j Reject
-A FORWARD -m limit --limit 10/min -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ! icmp -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -d 192.168.2.1 -o eth0 -j fw2net
-A OUTPUT -d 192.168.2.1 -o eth1 -j fw2net
-A OUTPUT -d 192.168.2.7 -o eth0 -j fw2loc
-A OUTPUT -d 192.168.2.7 -o eth1 -j fw2loc
-A OUTPUT -d 192.168.2.3 -o eth0 -j fw2loc
-A OUTPUT -d 192.168.2.3 -o eth1 -j fw2loc
-A OUTPUT -j Reject
-A OUTPUT -m limit --limit 10/min -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -j RejectAuth
-A Drop -j dropBcast
-A Drop -j dropInvalid
-A Drop -j DropSMB
-A Drop -j DropUPnP
-A Drop -j dropNotSyn
-A Drop -j DropDNSrep
-A DropDNSrep -p udp -m udp --sport 53 -j DROP
-A DropSMB -p udp -m udp --dport 135 -j DROP
-A DropSMB -p udp -m udp --dport 137:139 -j DROP
-A DropSMB -p udp -m udp --dport 445 -j DROP
-A DropSMB -p tcp -m tcp --dport 135 -j DROP
-A DropSMB -p tcp -m tcp --dport 139 -j DROP
-A DropSMB -p tcp -m tcp --dport 445 -j DROP
-A DropUPnP -p udp -m udp --dport 1900 -j DROP
-A Reject -j RejectAuth
-A Reject -j dropBcast
-A Reject -j dropInvalid
-A Reject -j RejectSMB
-A Reject -j DropUPnP
-A Reject -j dropNotSyn
-A Reject -j DropDNSrep
-A RejectAuth -p tcp -m tcp --dport 113 -j reject
-A RejectSMB -p udp -m udp --dport 135 -j reject
-A RejectSMB -p udp -m udp --dport 137:139 -j reject
-A RejectSMB -p udp -m udp --dport 445 -j reject
-A RejectSMB -p tcp -m tcp --dport 135 -j reject
-A RejectSMB -p tcp -m tcp --dport 139 -j reject
-A RejectSMB -p tcp -m tcp --dport 445 -j reject
-A all2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2all -j Reject
-A all2all -m limit --limit 10/min -j LOG --log-prefix "Shorewall:all2all:REJECT:" --log-level 6
-A all2all -j reject
-A dropBcast -m pkttype --pkt-type broadcast -j DROP
-A dropBcast -m pkttype --pkt-type multicast -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -m state --state NEW -j smurfs
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.1 -o eth1 -j ACCEPT
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth0 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth1 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth0 -j net2all
-A eth0_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth1 -j net2all
-A eth0_fwd -s 192.168.2.7 -j loc_frwd
-A eth0_fwd -s 192.168.2.3 -j loc_frwd
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -m state --state NEW -j smurfs
-A eth0_in -p udp -m udp --dport 67:68 -j ACCEPT
-A eth0_in -s 192.168.2.1 -j net2all
-A eth0_in -s 192.168.2.7 -j loc2fw
-A eth0_in -s 192.168.2.3 -j loc2fw
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -m state --state NEW -j smurfs
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.1 -o eth0 -j ACCEPT
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth0 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.7 -o eth1 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth0 -j net2all
-A eth1_fwd -s 192.168.2.1 -d 192.168.2.3 -o eth1 -j net2all
-A eth1_fwd -s 192.168.2.7 -j loc_frwd
-A eth1_fwd -s 192.168.2.3 -j loc_frwd
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -m state --state NEW -j smurfs
-A eth1_in -p udp -m udp --dport 67:68 -j ACCEPT
-A eth1_in -s 192.168.2.1 -j net2all
-A eth1_in -s 192.168.2.7 -j loc2fw
-A eth1_in -s 192.168.2.3 -j loc2fw
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -p tcp -m tcp --dport 80 -j ACCEPT
-A fw2net -p udp -m udp --dport 80 -j ACCEPT
-A fw2net -p tcp -m tcp --dport 53 -j ACCEPT
-A fw2net -j ACCEPT
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -m limit --limit 10/min -j LOG --log-prefix "Shorewall:loc2fw:ACCEPT:" --log-level 6
-A loc2fw -j ACCEPT
-A loc_frwd -d 192.168.2.1 -o eth0 -j all2all
-A loc_frwd -d 192.168.2.1 -o eth1 -j all2all
-A loc_frwd -d 192.168.2.7 -o eth0 -j ACCEPT
-A loc_frwd -d 192.168.2.7 -o eth1 -j ACCEPT
-A loc_frwd -d 192.168.2.3 -o eth0 -j ACCEPT
-A loc_frwd -d 192.168.2.3 -o eth1 -j ACCEPT
-A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2all -j Drop
-A net2all -m limit --limit 10/min -j LOG --log-prefix "Shorewall:net2all:DROP:" --log-level 6
-A net2all -j DROP
-A reject -m pkttype --pkt-type broadcast -j DROP
-A reject -m pkttype --pkt-type multicast -j DROP
-A reject -s 255.255.255.255 -j DROP
-A reject -s 255.255.255.255 -j DROP
-A reject -s 224.0.0.0/240.0.0.0 -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 255.255.255.255 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255 -j DROP
-A smurfs -s 255.255.255.255 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255 -j DROP
-A smurfs -s 224.0.0.0/240.0.0.0 -m limit --limit 10/min -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/240.0.0.0 -j DROP
COMMIT
# Completed on Mon Mar 28 13:36:33 2005


iptables-save -t nat
Quote:

# Generated by iptables-save v1.2.11 on Mon Mar 28 13:37:26 2005
*nat
:PREROUTING ACCEPT [2:660]
:POSTROUTING ACCEPT [13:747]
:OUTPUT ACCEPT [13:787]
COMMIT
# Completed on Mon Mar 28 13:37:26 2005


Per quanto riguarda l'apprendimento ... ecco sto cercando di imparare le due cose "in parallelo" :D
Ieri mi sono smazzato metà degli howto's su netfilter.org ... probabilmente il mio cervello è un po'ottenebrato dai pasti delle festività e non rende al 100% :lol:
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Mon Mar 28, 2005 11:53 am    Post subject: Reply with quote

allucinante! questo è quello che produce shorewall? in una parola è abominevole!!!
tutto quello che fa si poteva sostituire con una manciata di regole semplicissime da imparare. poi mi vengono a dire che shorewall è semplice e comodo...

allora... innanzitutto vedo delle regole di packet mangling. ne hai realmente bisogno? il packet mangling si usa solo su gateway ad alto traffico. fai i tuoi conti.
da un'occhiata rapidissima pare che il problema dia questo: hai messoa drop la politica di output (e fin qui può stare bene) e hai consentito l'uscita (chain fw2net) alle sole porte 80 e 53. che poi... anche qui è stato fatto un casino enorme. http usa sì la porta 80, ma in TCP, mentre tu hai messo sia TCP che UDP. il DNS, invece usa la porta 53, e fin qui ci siamo, ma usa UDP, mentre tu hai abilitato TCP.
l'errore più grosso che vedo a colpo d'occhio è quello
fai una cosa... scarica nel cesso shorewall e scrivi "iptables-restore < rules" dove rules è un file di regole fatto esattamente come l'output di iptables-save e contenente SOLO questo:

Quote:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -j REJECT
-A FORWARD -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ! icmp -m state --state INVALID -j DROP
-A OUTPUT -o eth1 -m state --state NEW.RELATED,ESTABLISHED -j ACCEPT
COMMIT


ho assunto eth0 interfaccia verso internet, eth1 verso la LAN.
potrebbero esserci degli errori, quindi prendilo un po' con le pinze.

ad ogni modo questo è un firewall che fa esattamente le stesse cose dell'altro, senza regole specifiche e con una manciata di regole e le tre chain predefinite, senza tutta quell'accozzaglia incomprensibile, e senza creare decine di chain... sei ancora convinto che shorewall sia più semplice di iptables?

ah... se hai bisogno di fare routing devi aggiungere una regola per il masquerading
Back to top
View user's profile Send private message
Taglia
Apprentice
Apprentice


Joined: 05 Nov 2004
Posts: 244

PostPosted: Mon Mar 28, 2005 12:02 pm    Post subject: Reply with quote

Innanzitutto grazie per l'attenzione. Adesso sto uscendo (visite ai parenti rulez ahahah), però appena torno leggerò tutto approfinditamente. Unica cosa che non mi torna in quanto da te detto. eth0 e eth1 praticamente sono la stessa cosa! Solo che:

- eth0 è la lan ethernet usuale che si connette al router!
- eth1 è la scheda wlan , che si connette allo stesso router di cui sopra!

In pratica uso eth0 quando ho il cavo, eth1 quando non voglio attaccarmi con il cavo e preferisco usare l'access point. Ma a livello "logico" sono esattamente la stessa cosa.

Code:

                  !
eth0 ------- !-----\
                  !       +------- ROUTER ---------------------- INTERNET
eth1 -------!------/                  |
                  !                           |
                  !                          |
                                      LAN PRIVATA

(fantastico, certe volte mi stupisco delle mie capacità grafiche)
Il firewall è installato sulla macchina a sinistra dei punti esclamativi, macchina che ha due interfaccie possibili verso il router (eth0, ethernet oppure eth1, wireless lan)
Poi ho altre macchine che si collegano al router e formano una rete interna.

Ora scappo, appena torno mi guardo tutto per bene!
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum