[OT] Il mio primo firewall

[x-dd]

Ciao a tutti,
questo è il mio primo post, scusate inizio con un OT
Ho preso spunto e riadattato alle mie esigenze la Home Router Guide, adesso è venuto il momento di mettere su il firewall e ho qualche dubbio, ho fatto un collage tra quello della guida ed uno trovato su una rivista, potete darci un'occhiata?
La linux box ha 2 schede di rete, eth1 [10.10.10.2] connessa al router fastweb [10.10.10.1] che chiamo est, eth0 [10.10.10.251] connessa alla rete interna che chiamo int, è attivo dhcp [10.10.10.3-10.10.10.250].
Se qualcuno ha esperienza in materia mi piacerebbe anche sapere se i router fastweb sono configurati per avere una certa protezione o se fanno passare tutto.
Ecco qua il mio lavoro:

iptables -F
iptables -t nat -F

export int=eth0
export est=eth1


# Then we lock our services so they only work from the LAN

iptables -I INPUT 1 -i ${int} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${int} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${int} -j REJECT


# Drop TCP / UDP packets to privileged ports

iptables -A INPUT -p TCP -i ! ${int} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${int} -d 0/0 --dport 0:1023 -j DROP


# Blocco tutto il traffico tcp, icmp e udp non richiesto proveniente da internet.

iptables -I INPUT -p tcp -i ${est} -m state -s 0/0 --dport 1:65535 --state INVALID,NEW -j DROP
iptables -I INPUT -p icmp -i ${est} -m state -s 0/0 --state INVALID,NEW -j DROP
iptables -I INPUT -p UDP -i ${est} -m state -s 0/0 --state INVALID,NEW -j DROP


#Finally we add the rules for NAT

iptables -I FORWARD -i ${int} -d 10.10.10.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${int} -s 10.10.10.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${est} -d 10.10.10.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${est} -j MASQUERADE

#Tell the kernel that ip forwarding is OK
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

Grazie

Marco





Edit:
Forse è il caso di aggiungere anche queste regole prese dall'ottima guida di Cazzantonio?

#Catena per loggare i portscan
$IPTABLES -N portscan
$IPTABLES -F portscan

#NMAP-XMAS
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

#XMAS
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP

#XMAS-PSH
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

#NULL_SCAN
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
$IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP

#SYN/RST
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#SYN/FIN
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
$IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

[power83]

A me il nat con la tua identica configurazione non funzia, difatti ho aperto un topic, dacci una guardata dato che non voglio inquinare questo.

Dipende da che protezione vuoi, la tua e' bassissima, almeno x i miei gusti.

[codadilupo]

[neryo]

[x-dd]

[Alberto Santini]

colgo l'occasione (anche qui si), in attesa che sia inserita nella documentazione ufficiale, per linkare la mia traduzione italiana della succitata guida:

http://lagnusi.net/pub/home-router-howto.html

ciao

[codadilupo]

[x-dd]

E' tutto io giorno che ci litigo
I pc non escono, qualcuno mi può aiutare?
Grazie

[x-dd]

La situazione è questa:
all'avvio Gentoo starta prima la eht0(interna) e poi la eth1(esterna), non esco su internet ma i pc pingano la scheda interna.
Se stoppo le connessioni, riavvio prima quella esterna e poi quella interna esco su internet ma i pc non pingano la scheda interna, non ci capisco più niente.

Edit: scusate dovevo editare il precedente post

EDIT
Ho scoperto una cosa, ho seguito alla lettera le istruzioni dell'autore e ho impostato sulla scheda interna l'indirizzo 192.168.0.1 , naturalmente ho riconfigurato anche il server dhcp per far lavorare i client sulla classe di indirizzi 192.168.0.x e funziona benissimo.
Ma allora le due schede devono avere due classi di indirizzi diversi? Io devo per forza lavorare su 10.10.10.x

[3,4-Ciccio-N-Palizzo]

[x-dd]

Questo pc Linux fa da firewall (spero) a due server Windows che lavorano (lavoravano) su 10.10.10.x e non volevo toccarli, pazienza, domani li riconfiguro

[codadilupo]

[x-dd]

Qui hanno messo un Cisco 1700, dici che posso avere quel problema?
Grazie comunque per la dritta.

[codadilupo]

[x-dd]

Perdona la mia nubbaggine, mi hanno dato questo compito ingrato e mi è sembrato il modo migliore mettere su un router, non riesco proprio a capire come potrei proteggere i pc della lan senza far passare tutto tramite il mio router, mi mancano le basi.
Quanti dipendenti siamop non l'ho mai capito, il router l'ha messo Fastweb.

[codadilupo]

[x-dd]

Per il momento ci sono 15 pc, fra poco però saremo circa 40.

[codadilupo]

[x-dd]

ehm
Il Cisco -> mio pc firewall/router -> swith -> pc e server.
Questo intendevi?