| View previous topic :: View next topic |
| Author |
Message |
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
 Posted: Sat Oct 08, 2005 8:14 am Post subject: [HOWTO] Router Gentoo con Supporto UPnP (modificato) |
 |
|
Premessa:
Se nella vostra LAN avete PC Windows e sentite la necessità di aprire costantemente delle porte nel vostro firewall iptables (ad esempio per la funzionalità A/V di MSN, programmi P2P, ecc.) senza dover costantemente metter mano ai files di configurazione, UPnP è ciò che fa per voi!
UPnP lo si trova in molti (se non tutti) i router wired e wireless, ma possiamo benissimo installarlo sulla nostra Gentoo Box se disponiamo di un semplice modem (o se usiamo il router come bridge), per far ciò abbiamo semplicemente bisogno di linux-igd.
Dopo questa breve e sicuramente inutile prefazione passiamo all'installazione.
Installazione:
Prerequisito essenziale è la presenza di un firewall iptables attivo e funzionante.
Detto questo procediamo come segue:
Dovremo installare l'ultima versione di linux-igd disponibile, quindi procediamo all'unmasking:
| Code: | | echo net-misc/linux-igd ~x86 >> /etc/portage/package.keywords |
Adesso è sufficiente emergere il pacchetto:
Finito l'emerge, basterà modificare un solo file di configurazione /etc/linuxigd/upnpd.conf come segue:
| Code: | # configuration file for upnpd
INTERFACE="eth0"
OUTERFACE="eth1" |
Dove INTERFACE è l'interfaccia della rete interna, mentre OUTERFACE l'interfaccia Internet
Adesso editiamo /etc/conf.d/local.start per automatizzare la procedura all'avvio:
| Code: | | route add -net 239.0.0.0 netmask 255.0.0.0 eth0 |
Inoltre lanciamo questo comando direttamente nella shell (per non dover attender il successivo boot)
Apriamo la porta che servirà al demone UPnP di comunicare con il client, nel caso le regole del vostro firewall bloccassero il traffico proveniente dalla LAN:
| Code: | | iptables -A INPUT -i eth0 -p tcp --dport 2869 -j ACCEPT |
Ultimo passo (quello che mi ha fatto diventare scemo poichè non capivo perchè UPnP non funzionasse...)
| Code: | | ln -sf /sbin/iptables /usr/sbin/iptables |
Poichè linux-igd andrà a cercare iptables in quel path (per i più smanettoni, in alternativa, si può modificare il file gateway.h prima della compilazione).
Adesso è sufficiente avviare il demone e aggiungerlo allo startup:
| Code: | | /etc/init.d/upnpd start && rc-update add upnpd default |
Manca soltanto la configurazione di Universal Plug and Play su Windows... dovrete semplicemente aprire Connessioni di Rete, selezionare il menu Avanzate -> Componenti di rete facoltativi e dare la spunta a Universal Plug and Play.
Adesso in connessioni di rete dovreste avere una nuova sezione chiamata "Gateway Internet", con un device connesso (il mio si chiama "Local Area Connection su Linux IGD")
A questo punto l'unica cosa da fare è testare se funziona... per fare questo basta provare un client P2P con supporto UPnP (come eMule MorphXT), o semplicemente con MSN Messenger selezionando Strumenti -> Opzioni -> Connessione e se la diagnostica risponde Sei connesso a Internet tramite NAT limitato da porta UPnP allora siamo a cavallo perchè tutto dovrebbe funzionare... (inoltre si potrebbe verificare con "iptables -t nat -L" che UPnP abbia inserito le regole corrette)
Conclusione:
Spero che questo "HOWTO" (mi vergogno a chiamarlo così =) possa esser utile a qualcuno...
Saluti
Last edited by Ty[L]eR on Sun Dec 11, 2005 2:24 pm; edited 1 time in total |
|
| Back to top |
|
 |
ema
Guru
Joined: 27 Aug 2003
Posts: 380
|
| Posted: Sat Oct 08, 2005 9:11 am Post subject: |
|
|
a me è servito, anche se devo ancora provarlo... ma l'idea mi stuzzica! ho 6 client win collegati al gateway gentoo e ogni giorno devo aprire nuove porte per i programmi che tutti usano! 
danke!
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola. |
|
| Back to top |
|
|
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
| Posted: Sat Oct 08, 2005 9:41 am Post subject: |
|
|
io ero impazzito a causa di alcuni prog che usavano porte random senza possibilità di limitarne un range... dovevo guardare il log di iptables, supporre un range ad hoc e forwardarlo... ora se il prog supporta upnp fa tutto solo  |
|
| Back to top |
|
|
neryo
Veteran
Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe
|
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Sat Oct 08, 2005 10:44 am Post subject: |
|
|
aggiunto ai post utilissimi 
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
.:deadhead:.
Advocate
Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy
|
| Posted: Sat Oct 08, 2005 10:44 am Post subject: |
|
|
 utenti gentoo uber alles: è troppo bbbbello peccato che su win questo componente sia stato causa di ENORMI problemi, e tutt'ora non mi fiderei molto a implementarlo [meno roba c'è meno roba si può rompere] , ma è bello vedere che linux è sempre sulla cresta dell'onda, e che con gentoo anche le cose complesse sono facilmente implementabili  Complimenti
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! |
|
| Back to top |
|
|
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
| Posted: Sat Oct 08, 2005 10:51 am Post subject: |
|
|
addirittura i post utilissimi wow  era da una vita che lurkavo senza postare... 
comunque ho visto che son uscite parecchie patch per upnp su xp... speriamo che non prospetti cattive nuove... comunque confermo... è semplice così come dare la spunta all'upnp nella conf di un router |
|
| Back to top |
|
|
ema
Guru
Joined: 27 Aug 2003
Posts: 380
|
| Posted: Sat Oct 08, 2005 11:32 am Post subject: |
|
|
per chi usa shorewall, è implementato anche in questo; semplifica notevolmente la vita! 
http://www.shorewall.net/UPnP.html
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola. |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sat Oct 08, 2005 11:32 am Post subject: |
|
|
Ottimo tip... però una riflessione: vogliamo realmente che i programmi possano aprire porte a piacimento? mi pare che venga meno il controllo...
ciao
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
ema
Guru
Joined: 27 Aug 2003
Posts: 380
|
| Posted: Sat Oct 08, 2005 11:34 am Post subject: |
|
|
vero comio, però se non si può fare diversamente (winzozz... beh lo dice il nome di com'è pulito il sistema!)
chiaro che non appena lo attivo, farò un piccolo script che manda regolarmente per email le porte aperte ad hoc, almeno so che succede!
_________________
D Per fare il SysAdmin e' necessario conoscere Unix/Linux e disprezzare Windows?
R Se ti interessa lavorare in ambiente Unix/Linux dovrai averne un minimo di conoscenza, quando acquisisci tale conoscenza la seconda parte arriva da sola. |
|
| Back to top |
|
|
nightshadow
Apprentice
Joined: 19 Mar 2004
Posts: 173
Location: nowhereland
|
| Posted: Sun Oct 09, 2005 9:42 pm Post subject: |
|
|
come al solito windows mi fa inc***are...
dopo aver attivato uPNP in "componenti facoltativi" non riesco proprio a vedere la sezione chiamata "Gateway internet"... |
|
| Back to top |
|
|
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
| Posted: Mon Oct 10, 2005 4:38 am Post subject: |
|
|
hai provato anche con un reboot?
upnpd è in esecuzione?
sicuro di aver messo la configurazione giusta in upnpd.conf (magari hai invertito le due interfacce) |
|
| Back to top |
|
|
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
| Posted: Sun Dec 11, 2005 2:01 pm Post subject: |
|
|
Riesumo questo mio vecchio topic perchè ho sperimentato a mie spese i frequenti crash di linux-igd con i kernel 2.6, c'è una "nuova" (è di novembre 2004) versione nel CVS, ho creato (oddio che parolone, ho taroccato quello originale va...) un ebuild per installarlo al posto dell'obsoleta versione presente in portage.
Innanzitutto dobbiamo installare l'ultima versione dell'SDK upnp, quindi procediamo all'unmasking:
| Code: | | echo "net-misc/upnp ~x86" >> /etc/portage/package.keywords |
ed emergiamolo:
Adesso scarichiamo il pacchetto contenente il source code prelevato dal CVS:
| Code: | | wget http://utenti.lycos.it/okkiazzurri83/gentoo/linuxigd-cvs-20041113.tgz |
Adesso rechiamoci nella dir del nostro portage overlay:
| Code: | | cd /usr/local/portage |
NB: questa è la directory di default, controlla in make.conf il tuo path
e creiamo la directory net-misc:
entriamo nella dir appena creata:
Scarichiamo il pacchetto contenete ebuild, digest e altre amenità:
| Code: | | wget http://utenti.lycos.it/okkiazzurri83/gentoo/linux-igd-cvs.tgz |
Scomprimiamolo:
| Code: | tar xzvf linux-igd-cvs.tgz
rm linux-igd-cvs.tgz |
Procediamo all'unmasking di linux-igd-cvs:
| Code: | | echo "net-misc/linux-igd-cvs ~x86" >> /etc/portage/package.keywords |
Ripuliamo il sistema dalla precedente installazione di linux-igd:
| Code: | /etc/init.d/upnp stop
emerge -Ca linux-igd |
e puliamo a mano le cose da dentro /etc (solitamente sono)
| Code: | rm -r /etc/linuxigd
rm /etc/conf.d/upnpd
rm /etc/init.d/upnpd |
Finalmente possiamo emerge il nuovo pacchetto
| Code: | | emerge -av linux-igd-cvs |
Editate i file /etc/conf.d/upnpd e /etc/upnpd.conf
L'installazione dovrebbe terminare in pochi secondi... adesso è sufficiente eseguirlo
| Code: | | /etc/init.d/upnpd start |
Adesso non dovrebbe piu crashare...
PS: accetto qualsiasi consiglio, critica, aiuto alla modifica dell'ebuild e degli script da me allegati
PPS: se qualcuno ha 30kb di spazio web gratuito potrebbe hostare questi due files? che messi su lycos non mi sembra il massimo 
Ciao a tutti |
|
| Back to top |
|
|
dorian-gray84
Tux's lil' helper
Joined: 23 Apr 2005
Posts: 107
Location: Ravenna
|
| Posted: Wed Jan 18, 2006 4:08 pm Post subject: |
|
|
Ciao, sto appunto adesso configurando un pc in modo che mi faccia da firewall-server per la lan casalinga e ho letto di questa interessantissima ma soprattutto comoda funzionalità.
Se ho capito bene questa cosa si adatta bene soprattutto in quei casi dove certi programmi utilizzano un ampio range di porte, come ad esempio msn.
Volevo chiedere se è ipotizzabile usare upnp anche per connettersi a server ftp.
Se non vado errato, nella modalità passiva, dopo aver instaurato la comunicazione tramite la porta 21 ftp apre una porta a caso maggiore della 1024.
Ora invece di avere regole del tipo:
| Code: | iptables -A lan-inet -p tcp -m state --state ESTABLISHED,RELATED --dport 1024: --sport 1024: -j ACCEPT
iptables -A inet-lan -p tcp -m state --state ESTABLISHED,RELATED --dport 1024: --sport 1024: -j ACCEPT |
che permettono l'accesso a tutte le connessioni su porte > 1024 purchè esse si riferiscano ad altre connesioni (ftp nel caso) mi sembrava più carino e più sicuro fare in modo che venisse "aperta" solo la porta che verrà effittivamente usata nella comunicazione ftp.
E' utopia, ovvero sto dicendo una imman str...ta, o si può fare una cosa del genere?
Inoltre aumenterebbe la sicurezza? Sarà una mia fissa un po' naif ma quelle due regole mi sembrano il tallone d'achille del firewall... |
|
| Back to top |
|
|
Ty[L]eR
Apprentice
Joined: 18 May 2004
Posts: 190
Location: it
|
| Posted: Wed Jan 18, 2006 5:33 pm Post subject: |
|
|
| Ci sono programmi (come FTPRush) che usano upnp per aprirsi le porte dinamicamente peccato sia shareware... |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
