| View previous topic :: View next topic |
| Author |
Message |
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
 Posted: Tue Feb 06, 2007 11:30 pm Post subject: [Risolto]Isolare Reti. |
 |
|
Salve Ragazzi,
avrei il seguente problema.
Ho una rete composta da un router, un pc linux con gentoo come firewall con 3 schede di rete , e due 5 pc in una sottorete A e 4 in un altra sottorete B.
1) il router è attaccato a eth0 del pc con gentoo.
2) la sottorete A è attaccata a eth1 del pc gentoo
3) la sottorete B è attaccata a eth2 del pc gentoo
4) sia la sotterete A che B devono navigare in internet
IL PROBLEMA è che la sottorete A non deve vedere la sottorete B e viceversa, per fare un esempio non si devono pingare.
Il firewall del pc gentoo ha la seguente configurazione:
| Code: |
iptables -A INPUT -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A INPUT -i eth2 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -o eth0 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 172.16.0.0/24 -o eth0 -j MASQUERADE
|
SPECIFICO che sottorete A è eth1 con 10.0.0.0/24 e sottorete B è eth2 con 172.16.0.0/24
A e B vanno in internet come devono andare però nonostante il drop di iptable se da A provo a pingare un pc di B o viceversa si pingano, mentre io vorrei propio il contrario , che non si vedessero per niente, tra l'altro le classi di reti sono completamente diverse, eppure si pingano.
Se il topic ho sbagliato ha metterlo qui mi scuso, perchè è una configuazione di gentoo ma forse riguarda qualcosa di più generale delle reti, cmp ditemi voi, lo sposto senza problemi.
Grazie già in anticipo a tutti per la vostra attenzione. Cordiali Saluti Matteo.
Last edited by TeoBì on Wed Feb 07, 2007 7:48 pm; edited 1 time in total |
|
| Back to top |
|
 |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Feb 06, 2007 11:45 pm Post subject: Re: Isolare Reti. |
|
|
le due sottoreti distinte sono sufficienti per fare distinzione. basta che non ci siano regole di routing che permettano il passaggio dall'una all'altra. si tratta per lo più di regole di forward.
per il ping non vedo quale sia il problema. ping è un pacchetto innocente e necessario. non mi dannerei l'anima per impedire i ping |
|
| Back to top |
|
|
edux
Apprentice
Joined: 15 Nov 2005
Posts: 223
Location: Bologna
|
| Posted: Wed Feb 07, 2007 9:49 am Post subject: |
|
|
Però secondo me così un pc della rete A riesce a vedere uno della B, perchè sono due reti diverse ma hanno entrambe come gateway il pc gentoo, per cui quando una rete fa richiesta di un indirizzo dell'altra al pc gentoo questo lo trova e li mette tranquillamente in comunicazione.
Se vuoi impedire la comunicazione tra le due reti devi impostare il router gentoo in modo tale che le richieste provenienti da una rete e dirette all'altra vengano droppate.
Inoltre non capisco bene a cosa servano le prime righe del tuo iptables.
| .:chrome:. wrote: |
per il ping non vedo quale sia il problema. ping è un pacchetto innocente e necessario. non mi dannerei l'anima per impedire i ping
|
Dimmelo quando avrai subito degli attacchi di icmp flood.
_________________
E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Wed Feb 07, 2007 9:51 am Post subject: |
|
|
| edux wrote: | | Dimmelo quando avrai subito degli attacchi di icmp flood. |
si esiste questa possibilità ma nel caso specifico se la sua lan è quella casalinga
non credo che passi le giornate ad auto-floddarsi :]
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
edux
Apprentice
Joined: 15 Nov 2005
Posts: 223
Location: Bologna
|
| Posted: Wed Feb 07, 2007 9:54 am Post subject: |
|
|
| X-Drum wrote: |
si esiste questa possibilità ma nel caso specifico se la sua lan è quella casalinga
non credo che passi le giornate ad auto-floddarsi :]
|
Beh spero anch'io, ma il mio era un discorso in generale...
_________________
E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Wed Feb 07, 2007 10:27 am Post subject: |
|
|
Moved from Forum italiano (Italian) to Forum di discussione italiano.
_________________
Ciao da me! |
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Wed Feb 07, 2007 11:27 am Post subject: |
|
|
| edux wrote: | | Dimmelo quando avrai subito degli attacchi di icmp flood. |
meglio avere i ping che vanno almeno riesci a fare diagnostica. |
|
| Back to top |
|
|
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
| Posted: Wed Feb 07, 2007 11:49 am Post subject: |
|
|
| Code: |
Dimmelo quando avrai subito degli attacchi di icmp flood.
|
è chiaro che il ping non è un problema, il problema è che sono visibili tutte le porte quindi può funzionare la condivisione dei files,il deskstop remoto e via dicendo; è chiaro che attivando un firewall sulle singole macchine si può impedire tutto questo ma io volevo farlo a monte con il firewall gentoo linux, solamente che ciò non avviene , quando attivo l'ip_forward le due reti A e B si iniziano a vedere.
Grazie per la vostra attensione, cordiali saluti. |
|
| Back to top |
|
|
edux
Apprentice
Joined: 15 Nov 2005
Posts: 223
Location: Bologna
|
| Posted: Wed Feb 07, 2007 12:04 pm Post subject: |
|
|
| GiRa wrote: |
meglio avere i ping che vanno almeno riesci a fare diagnostica.
|
Giusto.
| TeoBì wrote: |
è chiaro che attivando un firewall sulle singole macchine si può impedire tutto questo ma io volevo farlo a monte con il firewall gentoo linux, solamente che ciò non avviene , quando attivo l'ip_forward le due reti A e B si iniziano a vedere
|
Puoi implementare delle politiche di routing sul gateway gentoo in modo che le comunicazioni provenienti da rete A e dirette verso B e viceversa siano bloccate. Questo risolverebbe il problema della comunicazione tra le due reti.
_________________
E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Wed Feb 07, 2007 12:13 pm Post subject: |
|
|
Posta un route -n del gateway gentoo
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
| Posted: Wed Feb 07, 2007 1:02 pm Post subject: |
|
|
| Kernel78 wrote: | | Posta un route -n del gateway gentoo |
| Code: |
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.254 0.0.0.0 UG 0 0 0 eth0
|
|
|
| Back to top |
|
|
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
| Posted: Wed Feb 07, 2007 1:03 pm Post subject: |
|
|
| edux wrote: | | GiRa wrote: |
meglio avere i ping che vanno almeno riesci a fare diagnostica.
|
Giusto.
| TeoBì wrote: |
è chiaro che attivando un firewall sulle singole macchine si può impedire tutto questo ma io volevo farlo a monte con il firewall gentoo linux, solamente che ciò non avviene , quando attivo l'ip_forward le due reti A e B si iniziano a vedere
|
Puoi implementare delle politiche di routing sul gateway gentoo in modo che le comunicazioni provenienti da rete A e dirette verso B e viceversa siano bloccate. Questo risolverebbe il problema della comunicazione tra le due reti. |
Saresti così gentile da indicarmi qualche comando, grazie mille Saluti Matteo. |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Wed Feb 07, 2007 1:30 pm Post subject: |
|
|
la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
edux
Apprentice
Joined: 15 Nov 2005
Posts: 223
Location: Bologna
|
| Posted: Wed Feb 07, 2007 5:13 pm Post subject: |
|
|
| Kernel78 wrote: |
la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
|
Prima di postare leggi sempre i post precedenti, onde evitare inutili ripetizioni, grazie.
| TeoBì wrote: |
Saresti così gentile da indicarmi qualche comando, grazie mille Saluti Matteo.
|
| Code: |
iptables -A INPUT -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j DROP |
Con questa regola dovresti bloccare tutto il traffico dalla rete A alla rete B, se non mi sbaglio (perchè potrei...).
_________________
E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Feb 07, 2007 5:42 pm Post subject: |
|
|
| Code: | iptables -A INPUT -m mac -s 10.0.0.0/24 ! --mac-source [mac di eth2] -j DROP
iptables -A INPUT -m mac -s 172.16.0.0/24 ! --mac-source [mac di eth1] -j DROP |
se non erro dovrebbe andare anche con i furbi che dovessero pensare di poter usare una rete fisica con l'ip dell'altra.
altrimenti | Code: | | -i eth2 ! -s 10.0.0.0/24 -j DROP |
dovrebbe ottenere lo stesso effetto in modo più pulito.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Wed Feb 07, 2007 7:17 pm Post subject: |
|
|
| edux wrote: | | Kernel78 wrote: |
la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
|
Prima di postare leggi sempre i post precedenti, onde evitare inutili ripetizioni, grazie. |
Ho riletto ancora ma l'unica affermazione "simile" alla mia è la tua ma tu ti riferivi a "politiche di routing" mentre io (e adesso anche tu) ho suggerito di usare regole del firewall per bloccare, mentre a quanto ne so (ma potrei sbagliarmi) le regole di routing servono appunto per creare strade, non per bloccare (normalmente prerogativa del firewall).
Se tu la ritieni una ripetizione a me sembrava più una doverosa chiarificazione ... (sempre che tu ti riferissi alla tua affermazione e non a qualche altro post).
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
| Posted: Wed Feb 07, 2007 7:48 pm Post subject: |
|
|
| edux wrote: | | Kernel78 wrote: |
la cosa più veloce che mi viene in mente sarebbe di usare due regole in più per il firewall, bloccando i pacchetti con sorgente la rete A e destinazione la B e i pacchetti con sorgente in B e destinazione A
|
Prima di postare leggi sempre i post precedenti, onde evitare inutili ripetizioni, grazie.
| TeoBì wrote: |
Saresti così gentile da indicarmi qualche comando, grazie mille Saluti Matteo.
|
| Code: |
iptables -A INPUT -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j DROP |
Con questa regola dovresti bloccare tutto il traffico dalla rete A alla rete B, se non mi sbaglio (perchè potrei...). |
Ragazzi grazie mille veramente, siete stati grandi. Cmp le regole giuste sono le seguenti:
| Code: |
iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A FORWARD -i eth2 -d 10.0.0.0/24 -s 172.16.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
|
Con queste due regole A E B non si vedeno assolutamente e riescono tranquillamente a navigare in internet. Grazie di cuore a tutti.
Saluti Matteo. |
|
| Back to top |
|
|
edux
Apprentice
Joined: 15 Nov 2005
Posts: 223
Location: Bologna
|
| Posted: Wed Feb 07, 2007 10:01 pm Post subject: |
|
|
| Kernel78 wrote: |
Ho riletto ancora ma l'unica affermazione "simile" alla mia è la tua ma tu ti riferivi a "politiche di routing" mentre io (e adesso anche tu) ho suggerito di usare regole del firewall per bloccare, mentre a quanto ne so (ma potrei sbagliarmi) le regole di routing servono appunto per creare strade, non per bloccare (normalmente prerogativa del firewall).
|
Touché! Sì in effetti ho sbagliato a scrivere "politiche di routing", intendendo invece il firewall...scusate!
| TeoBì wrote: |
Grazie di cuore a tutti.
|
Ehi figurati, qua ci si diverte e basta!
_________________
E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Wed Feb 07, 2007 10:21 pm Post subject: |
|
|
| TeoBì wrote: | | Code: |
iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A FORWARD -i eth2 -d 10.0.0.0/24 -s 172.16.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
|
|
Secondo me sarebbe più sicuro dire che se l'ingresso è eth1 e l'uscita è eth2 deve bloccare, così eviti MAC spoofing ed IP spoofing. |
|
| Back to top |
|
|
TeoBì
Apprentice
Joined: 31 May 2004
Posts: 150
|
| Posted: Thu Feb 08, 2007 1:33 pm Post subject: |
|
|
| GiRa wrote: | | TeoBì wrote: | | Code: |
iptables -A FORWARD -i eth1 -d 172.16.0.0/24 -s 10.0.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A FORWARD -i eth2 -d 10.0.0.0/24 -s 172.16.0.0/24 -m state --state NEW,RELATED,ESTABLISHED -j DROP
|
|
Secondo me sarebbe più sicuro dire che se l'ingresso è eth1 e l'uscita è eth2 deve bloccare, così eviti MAC spoofing ed IP spoofing. |
Ok, l'idea effettivamente è giusta, solo che non ho molta pratica con iptables , ho provato e funziona con questa sintassi, è quello che intendevi tu?
| Code: |
iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j DROP
iptables -A FORWARD -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j DROP
|
Cordiali Saluti Matteo. |
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Thu Feb 08, 2007 2:09 pm Post subject: |
|
|
| Ben fatto eheheh. |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
