Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewalling bridge

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Ott 27, 2011 9:18 am    Oggetto: Firewalling bridge Rispondi citando

Ciao a tutti.

Avevo proposto il problema nell'area ZeroShell, ma forse è meglio spostarmi qui.

In pratica io ho assegnata una sottorete per un laboratorio, ed ho bisogno di "partizionarla" senza subnetting tra fissi e portatili.

Nella rete del laboratorio ho:
129: switch (hp2626)
130: ZS
131-146: PC fissi
151-180: DHCP
185: un server "esterno"
190: il gateway
Il cavo dal gateway arriva sullo switch e porta anche altre VLAN, che devono funzionare indipendentemente da ZS (in particolare la telefonia).

Ho quindi pensato ad un box ZS con tre schede di rete:
ETH00: esterno (gateway, un server, management dello switch, altri apparati)
ETH01: PC fissi
ETH02: Portatili

Ho messo su BRIDGE00 tutte e tre le ETH.

Le reti in gioco sono:
- x.y.z.128/255.255.255.192 (da x.y.z.128 a x.y.z.192): rete del laboratorio
- x.y.n.0/24 e x.y.m.0/24: altre due reti che hanno accessi "speciali"

Le regole che ho nella chain di forward (default: DROP) sono:
1 ETH01 ETH00 ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH01 --physdev-out ETH00 source IP range x.y.z.131-x.y.z.146 state NEW,RELATED,ESTABLISHED no
2 ETH00 * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH00 destination IP range x.y.x.131-x.y.z.146 state RELATED,ESTABLISHED no
3 ETH02 ETH00 ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH02 --physdev-out ETH00 source IP range x.y.z.151-x.y.z.180 state NEW,RELATED,ESTABLISHED no
4 ETH00 * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 PHYSDEV match --physdev-in ETH00 destination IP range x.y.z.151-x.y.z.180 state RELATED,ESTABLISHED no
5 * * ACCEPT tcp opt -- in * out * x.y.n.0/24 -> 0.0.0.0/0 destination IP range x.y.z.131-x.y.z.180 tcp dpt:22 no
6 * * ACCEPT tcp opt -- in * out * x.y.m.0/24 -> 0.0.0.0/0 destination IP range x.y.z.131-x.y.z.180 tcp dpt:22 no
7 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> x.y.z.129 no
8 * * ACCEPT all opt -- in * out * x.y.z.129 -> 0.0.0.0/0 destination IP range x.y.z.131-x.y.z.180 state RELATED,ESTABLISHED no
9 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> x.y.z.185 tcp dpt:22 no
10 * * ACCEPT all opt -- in * out * x.y.z.185 -> 0.0.0.0/0 no
11 * * ACCEPT icmp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 destination IP range x.y.z.131-x.y.z.180 no

La regola 1 permette ai fissi di uscire. La 2 alle risposte di tornare (altrimenti il SYN+ACK viene bloccato).
La 3 e la 4 sono l'analogo della 1 e della 2, ma per il pool DHCP.
La 5 e la 6 mi permettono l'accesso SSH a tutte le macchine.
La 7 e la 8 dovrebbero permettere esplicitamente l'accesso allo switch, ma non funzionano.
La 9 e la 10 permettono l'accesso al server e funzionano.
La 11 permette di pingare le macchine e non serve la regola per il ritorno (perché???).

La cosa più strana è che, anche spostando la 7/8 come 1/2 ed abilitando il logging, non si vede nulla!

Inoltre dai log mi pare di capire che physdev-out viene ignorato ("physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore."). Ma io vorrei evitare che fissi e portatili comunichino indiscriminatamente...

Any hint?
Grazie!
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Ott 27, 2011 12:11 pm    Oggetto: Rispondi citando

ciao , proverei a mettere i log (che mi sembrano disabilitati , vedendo quel "no" alla fine delle rules ) , e alla fine della chain un drop log, giusto per vedere tutto ciò che viene droppato.
Le rules 7/8 mi sembrano corrette , ( -> 0.0.0.0/0 e poi destination IP range x.y.z.131-x.y.z.180 nella 8 suppongo sia un errore di copia incolla )......i ping ritornano perchè la 11 permette tutti i tipi di icmp ( echo-req. echo-reply ...) per gli ip compresi nel pool specificato , da qualsiasi interfaccia di entrata / uscita
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Ott 27, 2011 1:07 pm    Oggetto: Rispondi citando

Nei log, anche abilitandoli, non ho ottenuto nulla.
Ma quel che è peggio è che anche mettendo la policy "accept" non funziona.
Il che, temo, vuol dire che lo switch (che è poi un 2510, non un 2626... me memoria del menga) fa del casino con le VLAN... Lunedì vedrò di aggiornargli il firmware per vedere se lo fa anche con la 11.17.

redfive ha scritto:
-> 0.0.0.0/0 e poi destination IP range x.y.z.131-x.y.z.180 nella 8 suppongo sia un errore di copia incolla

No. Me lo dà così ZS. IIUC 0.0.0.0/0 è come dire * o default (anche se fai un "route -n" la route di default ha la netmask di 0 bit e viene tradotta in "default").

Per gli ICMP in effetti mi hai fatto tornare in mente che avevo deciso di permetterli anche tra fissi e portatili.

Certo che sarebbe molto più comodo poter definire dei gruppi di indirizzi e gestire automaticamente le regole a livello più alto (per esempio la regola per permettere il passaggio delle risposte potrebbe essere generata automaticamente).
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it