View previous topic :: View next topic |
Author |
Message |
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Fri Aug 19, 2005 9:08 am Post subject: [OT] Il mio primo firewall |
|
|
Ciao a tutti,
questo è il mio primo post, scusate inizio con un OT
Ho preso spunto e riadattato alle mie esigenze la Home Router Guide, adesso è venuto il momento di mettere su il firewall e ho qualche dubbio, ho fatto un collage tra quello della guida ed uno trovato su una rivista, potete darci un'occhiata?
La linux box ha 2 schede di rete, eth1 [10.10.10.2] connessa al router fastweb [10.10.10.1] che chiamo est, eth0 [10.10.10.251] connessa alla rete interna che chiamo int, è attivo dhcp [10.10.10.3-10.10.10.250].
Se qualcuno ha esperienza in materia mi piacerebbe anche sapere se i router fastweb sono configurati per avere una certa protezione o se fanno passare tutto.
Ecco qua il mio lavoro:
iptables -F
iptables -t nat -F
export int=eth0
export est=eth1
# Then we lock our services so they only work from the LAN
iptables -I INPUT 1 -i ${int} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${int} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${int} -j REJECT
# Drop TCP / UDP packets to privileged ports
iptables -A INPUT -p TCP -i ! ${int} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${int} -d 0/0 --dport 0:1023 -j DROP
# Blocco tutto il traffico tcp, icmp e udp non richiesto proveniente da internet.
iptables -I INPUT -p tcp -i ${est} -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP
iptables -I INPUT -p icmp -i ${est} -m state -s 0/0 --state INVALID,NEW -j DROP
iptables -I INPUT -p UDP -i ${est} -m state -s 0/0 --state INVALID,NEW -j DROP
#Finally we add the rules for NAT
iptables -I FORWARD -i ${int} -d 10.10.10.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${int} -s 10.10.10.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${est} -d 10.10.10.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${est} -j MASQUERADE
#Tell the kernel that ip forwarding is OK
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
Grazie
Marco
Edit:
Forse è il caso di aggiungere anche queste regole prese dall'ottima guida di Cazzantonio?
#Catena per loggare i portscan
$IPTABLES -N portscan
$IPTABLES -F portscan
#NMAP-XMAS
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
#XMAS
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP
#XMAS-PSH
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
#NULL_SCAN
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP
#SYN/RST
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#SYN/FIN
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP |
|
Back to top |
|
|
power83 l33t
Joined: 28 Nov 2004 Posts: 638
|
Posted: Fri Aug 19, 2005 10:08 am Post subject: |
|
|
A me il nat con la tua identica configurazione non funzia, difatti ho aperto un topic, dacci una guardata dato che non voglio inquinare questo.
Dipende da che protezione vuoi, la tua e' bassissima, almeno x i miei gusti. |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Fri Aug 19, 2005 11:08 am Post subject: Re: [OT] Il mio primo firewall |
|
|
x-dd wrote: | La linux box ha 2 schede di rete, eth1 [10.10.10.2] connessa al router fastweb [10.10.10.1] che chiamo est, eth0 [10.10.10.251] connessa alla rete interna che chiamo int, è attivo dhcp [10.10.10.3-10.10.10.250].
Se qualcuno ha esperienza in materia mi piacerebbe anche sapere se i router fastweb sono configurati per avere una certa protezione o se fanno passare tutto. |
[commento tagliato]
Last edited by codadilupo on Thu Nov 23, 2006 9:40 am; edited 1 time in total |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Fri Aug 19, 2005 12:34 pm Post subject: |
|
|
power83 wrote: | A me il nat con la tua identica configurazione non funzia, difatti ho aperto un topic, dacci una guardata dato che non voglio inquinare questo.
Dipende da che protezione vuoi, la tua e' bassissima, almeno x i miei gusti. |
non ti funzia perche' setti il device sbagliato.. tu non esci con un interfaccia ethernet.. ma con un modem usb quindi con ppp0 _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Fri Aug 19, 2005 2:58 pm Post subject: Re: [OT] Il mio primo firewall |
|
|
codadilupo wrote: | x-dd wrote: | La linux box ha 2 schede di rete, eth1 [10.10.10.2] connessa al router fastweb [10.10.10.1] che chiamo est, eth0 [10.10.10.251] connessa alla rete interna che chiamo int, è attivo dhcp [10.10.10.3-10.10.10.250].
Se qualcuno ha esperienza in materia mi piacerebbe anche sapere se i router fastweb sono configurati per avere una certa protezione o se fanno passare tutto. |
passa tutto. L'eventuale filtro viene fatto sui minipop, catalyst etc.... e quell'IP non puo' appartenere alla rete fastweb
Coda |
Ovviamente è l'ip interno del router, come esce poi non lo so, è una fastweb aziendale. |
|
Back to top |
|
|
Alberto Santini Tux's lil' helper
Joined: 03 Jul 2005 Posts: 88 Location: Italy->Sicily->Caltanissetta
|
Posted: Fri Aug 19, 2005 4:05 pm Post subject: |
|
|
colgo l'occasione (anche qui si), in attesa che sia inserita nella documentazione ufficiale, per linkare la mia traduzione italiana della succitata guida:
http://lagnusi.net/pub/home-router-howto.html
ciao |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Fri Aug 19, 2005 5:49 pm Post subject: Re: [OT] Il mio primo firewall |
|
|
x-dd wrote: | Ovviamente è l'ip interno del router, come esce poi non lo so, è una fastweb aziendale. |
ehi, tu hai detto "... connessa al router fastweb [10.10.10.1]", mica io
Coda |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sat Aug 20, 2005 12:08 pm Post subject: |
|
|
E' tutto io giorno che ci litigo
I pc non escono, qualcuno mi può aiutare?
Grazie |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sat Aug 20, 2005 2:08 pm Post subject: |
|
|
La situazione è questa:
all'avvio Gentoo starta prima la eht0(interna) e poi la eth1(esterna), non esco su internet ma i pc pingano la scheda interna.
Se stoppo le connessioni, riavvio prima quella esterna e poi quella interna esco su internet ma i pc non pingano la scheda interna, non ci capisco più niente.
Edit: scusate dovevo editare il precedente post
EDIT
Ho scoperto una cosa, ho seguito alla lettera le istruzioni dell'autore e ho impostato sulla scheda interna l'indirizzo 192.168.0.1 , naturalmente ho riconfigurato anche il server dhcp per far lavorare i client sulla classe di indirizzi 192.168.0.x e funziona benissimo.
Ma allora le due schede devono avere due classi di indirizzi diversi? Io devo per forza lavorare su 10.10.10.x |
|
Back to top |
|
|
3,4-Ciccio-N-Palizzo Tux's lil' helper
Joined: 20 Feb 2005 Posts: 90
|
Posted: Sat Aug 20, 2005 6:22 pm Post subject: |
|
|
x-dd wrote: |
Ho scoperto una cosa, ho seguito alla lettera le istruzioni dell'autore e ho impostato sulla scheda interna l'indirizzo 192.168.0.1 , naturalmente ho riconfigurato anche il server dhcp per far lavorare i client sulla classe di indirizzi 192.168.0.x e funziona benissimo.
Ma allora le due schede devono avere due classi di indirizzi diversi? Io devo per forza lavorare su 10.10.10.x |
Beh, NON può funzionare se hai entrambe le schede sulla stessa subnet!
Un router ROUTA fra 2 interfacce su sottoreti diverse, quindi è normale non vada!
Perchè mai dovresti usare per forza la 10.10.10.x? |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sat Aug 20, 2005 8:13 pm Post subject: |
|
|
Questo pc Linux fa da firewall (spero) a due server Windows che lavorano (lavoravano) su 10.10.10.x e non volevo toccarli, pazienza, domani li riconfiguro |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Sat Aug 20, 2005 10:25 pm Post subject: |
|
|
x-dd wrote: | Ma allora le due schede devono avere due classi di indirizzi diversi? Io devo per forza lavorare su 10.10.10.x |
e se no che router é ? Voglio dire, se sei già sulla stessa rete del pc a cui vuoi parlare, che bisogno hai di un computer in mezzo che ti porti il pacchetto a destinazione ? glielo porti tu, il pacchetto al destinatario, e buonanotte
Coda
randomaze: post editato... |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sun Aug 21, 2005 7:17 am Post subject: |
|
|
Qui hanno messo un Cisco 1700, dici che posso avere quel problema?
Grazie comunque per la dritta. |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Sun Aug 21, 2005 10:16 am Post subject: |
|
|
x-dd wrote: | Qui hanno messo un Cisco 1700, dici che posso avere quel problema?
Grazie comunque per la dritta. |
il problema é "chi" ha messo il cisco
Se il cisco te l'ha venduto FW, allora ha un contratto di tipo business (ma quanti dipendenti ha la tua azienda ? ). Se l'avete messo voi: configuratelo per benino.
P.S.: ma se hai li' un cisco, perché mai stai mettendo su un router ? tira su solo il firewall e chi s'e' visto s'e' visto
Coda |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sun Aug 21, 2005 12:28 pm Post subject: |
|
|
Perdona la mia nubbaggine, mi hanno dato questo compito ingrato e mi è sembrato il modo migliore mettere su un router, non riesco proprio a capire come potrei proteggere i pc della lan senza far passare tutto tramite il mio router, mi mancano le basi.
Quanti dipendenti siamop non l'ho mai capito, il router l'ha messo Fastweb. |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Sun Aug 21, 2005 12:46 pm Post subject: |
|
|
x-dd wrote: | Perdona la mia nubbaggine, mi hanno dato questo compito ingrato e mi è sembrato il modo migliore mettere su un router, non riesco proprio a capire come potrei proteggere i pc della lan senza far passare tutto tramite il mio router, mi mancano le basi.
Quanti dipendenti siamop non l'ho mai capito, il router l'ha messo Fastweb. |
beh, direi che il firewall deve stare prima del router, no ? Cioe', é inutile che prima fai arrivare il pacchetto, e poi lo filtri... semmai, prima filtri il pacchetto (con il firewall), e poi lo mandi a chi deve smistarlo (il router cisco).
cmq, il problema, sinceramente, é capire la tua infrastruttura, perché all'inizio pensavo a un ufficio (10-15 persone), ora mi si profila qualcosa sopra il centinaio di utenti... comincio ad essere confuso
Coda |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sun Aug 21, 2005 12:54 pm Post subject: |
|
|
Per il momento ci sono 15 pc, fra poco però saremo circa 40. |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Sun Aug 21, 2005 12:58 pm Post subject: |
|
|
x-dd wrote: | Per il momento ci sono 15 pc, fra poco però saremo circa 40. |
si', ma com'e' fatta la rete ? qual'e' la topologia ?
Coda |
|
Back to top |
|
|
x-dd n00b
Joined: 19 Aug 2005 Posts: 68
|
Posted: Sun Aug 21, 2005 1:02 pm Post subject: |
|
|
ehm
Il Cisco -> mio pc firewall/router -> swith -> pc e server.
Questo intendevi? |
|
Back to top |
|
|
|