Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall... forse bug?
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mer Set 12, 2012 4:01 pm    Oggetto: Firewall... forse bug? Rispondi citando

Ciao a tutti...
Ho la versione nuova di zeroshell la 2.0
Ho abilitato captive portal su eth1 a cui è collegato un access point.
Ora vorrei capire come bloccare determinati protocolli e abilitare solo la navigazione su porte 443, 80.

Includendo le regole nella chain FORWARD una volte impostate, o mi blocca il traffico completamente oppure non funzionano.

Vi posto le mie regole.

Codice:
1    ETH01    ETH00    ACCEPT icmp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15 state NEW,RELATED,ESTABLISHED        
   2    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15 tcp dpt:443       
   3    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15 tcp dpt:80        
   4    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15 tcp dpt:!12080       
   5    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15 tcp dpt:12082       
   6    ETH01    ETH00    DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 10.0.0.5-10.0.0.15



Il mio obbiettivo e far navigare solo su porte 443 e 80... chi cerca di connettersi via ssh o telnet non deve farlo...

ETH1 è l'access point e dove captive portal è attivo
ETH0 è la lan ed è nat.


Potete darmi una mano?

Grazie!
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mer Set 12, 2012 4:44 pm    Oggetto: Rispondi citando

ho risolto mannaggia a me...

con questa configurazione
Codice:

        1    *    *    ACCEPT icmp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED    
   2    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED tcp dpt:443        
   3    ETH01    ETH00    ACCEPT udp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED udp dpt:53    
   4    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:53        
   5    ETH01    ETH00    ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80    
   6    ETH01    ETH00    DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto bittorrent        
   7    ETH01    ETH00    DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0


Avete consigli su altri protocolli da bloccare?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Set 12, 2012 6:26 pm    Oggetto: Rispondi citando

Ehm... Permetti ping a tutti, ma per quelli che abiliti in uscita ti serve una regola che permetta "da tutti a tutti" le risposte (RELATED,ESTABLISHED senza NEW).
E la metterei per prima, così da eliminare da tutte le altre il "RELATED,ESTABLISHED". Ora non ricordo i dettagli di iptables, ma non so se la risposta ad una connessione (quindi ESTABLISHED) ha dpt uguale alla richiesta o se invece è la porta usata dal client che "all'andata" era spt... E comunque se intercetti tutte le risposte con la prima regola scarichi il processore che non deve più valutare tante regole.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mer Set 12, 2012 11:01 pm    Oggetto: Rispondi citando

Codice:

        1   *   *   ACCEPT icmp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED      
   2   ETH01   ETH00   ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443      
   3   ETH01   ETH00   ACCEPT udp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:53      
   4   ETH01   ETH00   ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:53   
   5   ETH01   ETH00   ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80   
   6   ETH01   ETH00   DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 LAYER7 l7proto bittorrent      
   7   ETH01   ETH00   DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0


Cosi dici che può andare? La regola n° 6 (sperando funzioni) dovrebbe bloccare i torrent... ma credo sia una ripetizione vista la regola 7...
Giusto?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Set 13, 2012 8:25 pm    Oggetto: Rispondi citando

Togli icmp dalla prima.
E la 6 dovrebbe essere ridondante. Come la 7, se metti come default policy DROP.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Gio Set 13, 2012 10:24 pm    Oggetto: Rispondi citando

Ah ok... la prima l'ho tolta,
la regola 6 e 7 quando mi dici "ridondante" significa, togliere le interfacce eth0 e eth1?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Set 13, 2012 11:00 pm    Oggetto: Rispondi citando

Piccolo update .... con le regole cosi' impostate , potresti avere 2 problemi , il primo è che se un client ha appena iniziato a guardarsi un video di 2 ore su youtube , anche se viene forzata la sua disconnessione tramite il tasto disconnect , lui vedrà comunque tutto il suo video , e secondo , non hai piu' nessun controllo sull'accounting (i contatori restano a 0).
Avendo solo 2 interfacce eth , ti conviene fare come consigliato da NDK , ovvero nella chain di forward usare DROP come default policy , creare una nuova chain , es. proto_allowed , in questa nuova chain inserisci 3 regole , nelle prime 2 specifichi solo protocollo e porta (tcp 80, tcp 443) action RETURN , la terza specifichi solo action DROP , salvi. Supponendo che ETH01 faccia parte della net. 10.0.0.0/x ed ETH00 192.168.0.0/x , e volendo da questa rete magari gestire l'/gli Access-point che si trova/no dietro CP, nella chain di forward crei 3 regole ,
Codice:
1 in ETH01 out *       source-ip !10.0.0.x action DROP
2 in ETH00 out ETH01 , source-ip 192.168.0.0/x dest-ip 10.0.0.x ,action ACCEPT
3 in ETH01 out ETH00 , source-ip 10.0.0.x, dest-ip 192.168.0.0/x state RELATED, ESTABLISHED ,action ACCEPT
Quarta regola,
Codice:
4 in ETH01 out ETH00 , source-ip 10.0.0.x, dest-ip 192.168.0.0/x , action DROP
evita che , anche se autenticati , i CP clients possano raggiungere hosts sulla network prima di ZS ( es router , access-point..) . Quinta regola
Codice:
 5 in ETH01 out ETH00 , source-ip 10.0.0.x, action CHAIN , jump to proto_allowed
Come base "dovrebbe" andare , se è ok poi puoi essere piu' specifico sulle regole ,logging..
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Gio Set 13, 2012 11:21 pm    Oggetto: Rispondi citando

Allora....

Chain FORWARD policy (DROP)


Codice:

        1   ETH01   *           DROP all opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 10.0.0.1-10.0.0.30      
   2   ETH00   ETH01   ACCEPT all opt -- in ETH00 out ETH01 192.168.1.0/24 -> 0.0.0.0/0 destination IP range 10.0.0.1-10.0.0.30      
   3   ETH01   ETH00   ACCEPT all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.0/24 source IP range 10.0.0.1-10.0.0.30 state RELATED,ESTABLISHED      
   4   ETH01   ETH00   DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.0/24 source IP range 10.0.0.1-10.0.0.30   
   5   ETH01   ETH00   procolliconsentiti all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 source IP range 10.0.0.1-10.0.0.30


CHAIN (protocolli consentiti)

        1   *   *   RETURN tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80      
   2   *   *   RETURN tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443      
   3   *   *   DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0



Che dici?

Grazie per l'immenso aiuto!


p.s provando questa configurazione il link del cp non mi si apre in automatico e una volta inseriti i dati non mi fa navigare
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Set 14, 2012 1:14 pm    Oggetto: Rispondi citando

Nella prima regola , spunta il flag "not" dopo il source ip address ( ! 10.0.0.0/x) , sarebbe anche essere superflua e si potrebbe toglierla, ma facendo dei test, ho visto che ogni tanto arrivano dei pacchetti con source ip address di vodafone ( qualche I(qualcosa) in umts che si è anche associato all AP ) che cercano di "passare" ....non passerebbero comunque , ma almeno gli seghi le gambe subito se non fà parte della tua rete....
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Ven Set 14, 2012 3:09 pm    Oggetto: Rispondi citando

Codice:


CHAIN FORWARD

        1   ETH01   *           DROP all opt -- in ETH01 out * !10.0.0.0/8 -> 0.0.0.0/0   
   2   ETH00   ETH01   ACCEPT all opt -- in ETH00 out ETH01 192.168.1.0/24 -> 10.0.0.0/8
   3   ETH01   ETH00   ACCEPT all opt -- in ETH01 out ETH00 10.0.0.0/8 -> 192.168.0.0/24 state RELATED,ESTABLISHED
   4   ETH01   ETH00   DROP all opt -- in ETH01 out ETH00 10.0.0.0/8 -> 192.168.0.0/24      
   5   ETH01   ETH00   procolliconsentiti all opt -- in ETH01 out ETH00 10.0.0.0/8 -> 0.0.0.0/0


CHAIN Protocolliconsentiti


        
   1   *   *   ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:53      
   2   *   *   ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80      
   3   *   *   ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:443      
   4   *   *   ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0


Funziona se però metto nella chain creata da me, Accept invece che return...

se invece imposto Return non funziona nulla.


Il redirect alla home page del captive portal non funziona, (se inserisco return alla 1,2,3 della chain Protocolliconsentiti).
Se invece metto Accept, come qui sopra, funziona... ma il redirect devo farlo manualmente. Se provo a collegarmi via ssh ad un server fuori la mia rete, dietro a CP mi si collega...(non dovrebbe essere bloccato visto che gli ho dato solo porte 53, 80, 443 in uscita?

Aggiornamento... ho notato che avevo attivo il proxy... è un problema? molto probabilemente dava questi problemi a causa sua..

grazie mille.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Set 14, 2012 7:56 pm    Oggetto: Rispondi citando

Senza il proxy funziona correttamente ? ........
Se la tua int. ETH00 è nattata , per gestire (dalla 192.168.1.0/24) gli n° AP dietro il CP , inserisci n° regole in virtual server , es. se l'interfaccia ETH00 ha indirizzo 192.168.1.254 , e gli AP ( es. 10.0.0.2 e 10.0.0.3 ) sono raggiungibili via http ,
Codice:
Interface / IP Address   Protocol   Local Port    Real Servers
ETH00 /    192.168.1.254    TCP          8084     10.0.0.2:80
ETH00 /    192.168.1.254    TCP          8085     10.0.0.3:80
Da browser digiterai http://192.168.1.254:8084 e http://192.168.1.254:8085

Comunque , ho testato una config. simile , e sembra fare ciò che dovrebbe , sia con il proxy attivo che disattivo.
Nel mio caso , il CP è attivo sull'interfaccia ETH01 (192.168.1.1/24 ) la ETH03 (192.168.191.2/28 ) è invece la WAN per ZS. Host1 è host autenticato su CP , host2 è un pc nella 192.168.191.0/28 (la WAN per ZS)
Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       all  --  ETH01  *      !192.168.1.0/24       0.0.0.0/0            /* drop_wrong_s_ip */

  155 15728 ACCEPT     all  --  ETH03  ETH01   192.168.191.0/28     192.168.1.0/24       /* accept_from_main_net */

  181 97220 ACCEPT     all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     state RELATED,ESTABLISHED /* accept_ret_pkt_to_main_net */

   15   720 DROP       all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     /* drop_pkt_to_main_net */

 1273  234K chk_port   all  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            /* check_allowed_protocol */
Nella chain FORWARD
Rule 2 , 155 pkts, connessioni da parte di host2 verso AP dietro CP
Rule 3 , 181 pkts, risposte da AP dietro CP a host2
Rule 4, 15 pkts, droppati , tentate connessioni da host1 verso host appartenenti alla 192.168.191.0/28.
Rule 5 , tutte le altre connessioni di host1 , in dettaglio nella chain chk_port:

e questa è la custom chain che controlla i 2 protocolli permessi
Codice:
Chain chk_port (1 references)
 pkts bytes target     prot opt in     out     source               destination         

  382 42554 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

  782  183K RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443

   24  1152 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

chain chk_port

Rule 1 , 382 pkts, connessioni http (permesse)
Rule 2 , 782 pkts, connessioni https (permesse)
Rule 3 , 24 pkts, connessioni telnet/ssh verso hosts rete remota (droppate).
I contatori dell'accounting registrano correttamente il traffico (up/down).
ciao
P.S. se comunque ti interessa usare il proxy , oltre alla regola di cattura , aggiungine un altra , di non cattura , in ETH01, out ETH00 , dest ip 192.168.1.0/24 , evita che i CP clients , grazie al proxy possano raggiungere risorse ( AP , router) via http nella network 192.168.1.0/24
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Sab Set 15, 2012 7:08 pm    Oggetto: Rispondi citando

ah ok... cmq la mia configurazione è:

eth0 ho abilitato il nat solo su questa interfaccia. (wan di zs) 192.168.1.6
eth1 (wifi CP) 10.0.0.2

Resetto la config. del firewall perchè ho fatto un po casini...
Ora ritento.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Sab Set 15, 2012 11:49 pm    Oggetto: Rispondi citando

Ok La configurazione che mi hai postato funziona in modo perfetto..
L'unico problema che incontro è riguardo il Virtual server..
Facendo come dici, non mi abilità cmq l'accesso agli access point.. dalla rete wan di zs.

E' possibile cmq vietare a tutti quelli connessi tramite CP, di collegarsi ai vari access point (via http) ?
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Dom Set 16, 2012 10:35 pm    Oggetto: Rispondi citando

il virtual server non mi funziona se non abilito nella chain FORWARD questa regola:

ETH00 ETH01 ACCEPT tcp opt -- in ETH00 out ETH01 192.168.1.0/24 -> 10.0.0.0/8 tcp dpt:80

abilitata questa il virtual server, con regola settata, funziona con l'inoltro... differentemente no.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Lun Set 17, 2012 11:19 pm    Oggetto: Rispondi citando

cmq.. la chain Forward la devo tenere su ACCEPT.. se no le regole non vengono calcolate da zs.

Utilizzo la versione 2.0 di zs... può darsi che sia buggata?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Set 18, 2012 7:57 am    Oggetto: Rispondi citando

Mah... Io la chain FORWARD la tengo sempre su DROP, e non ho mai avuto problemi (se non quelli dovuti a regole sbagliate o mancanti, in particolare quella per far passare le risposte)...
Per il virtual server dovrebbe essere necessario solo aggiungere la regola su INPUT ed OUTPUT (io queste, normalmente, le tengo in ACCEPT dato che comunque ho ZS dietro un altro firewall).
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mar Set 18, 2012 9:38 am    Oggetto: Rispondi citando

Beh anche a me sembra strano... ma piu che fare semplici regole che ho impostato...
Chain Forward è, politica ACCEPT

1 ETH01 * DROP all opt -- in ETH01 out * !10.0.0.0/8 -> 0.0.0.0/0 length 155:65535
2 ETH00 ETH01 ACCEPT tcp opt -- in ETH00 out ETH01 192.168.1.0/24 -> 10.0.0.0/8 tcp dpt:80
3 ETH00 ETH01 ACCEPT all opt -- in ETH00 out ETH01 10.0.0.0/8 -> 192.168.1.0/24 length 181:65535
4 ETH01 ETH00 ACCEPT all opt -- in ETH01 out ETH00 10.0.0.0/8 -> 192.168.1.0/24 state RELATED,ESTABLISHED
5 ETH00 ETH01 DROP all opt -- in ETH00 out ETH01 192.168.1.0/24 -> 10.0.0.0/8 length 15:65535
6 ETH01 * procolliconsentiti all opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 length 1273:65535

Se questa chain la imposto du Drop, il cliente che si collega, NON viene reindirizzato a CP in automatico, se prova a connettersi a CP manualmente e vengono inserite le credenziali d'accesso, la connessione funziona, il problema è che il contatore mb e tempo se viene chiuso, la connessione continua ad andare senza problemi... (non dovrebbe far cosi)
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Set 18, 2012 11:20 am    Oggetto: Rispondi citando

Non riesco a capire la logica con cui hai scritto le regole...
1) tutto ciò che arriva su ETH01, non è sulla rete 10 e len<155 => DROP
2) da ETH00 ad ETH01, se 192.168.1 verso 10, traffico web: ACCEPT
3) da ETH00 ad ETH01, se 10 verso 192.168.1, len>181 : ACCEPT
ecc...
In pratica: che ca...volo stai cercando di ottenere???
Per es, perché un pacchetto con sorgente 192.168.3.55 collegato alla ETH01 deve poter mandare pacchetti maggiori di 155 byte?

IMO: fai prima a buttare tutto e ricominciare.
Default: DROP.
regola 1: da ovunque ad ovunque, state=RELATED|ESTABLISHED : ACCEPT
Altre regole: permetti i singoli servizi.

Testa ad ogni passo. Se una regola crea casino, eliminala e cerca di capirla bene.
Top
Profilo Invia messaggio privato
hyper



Registrato: 07/09/12 16:15
Messaggi: 19

MessaggioInviato: Mar Set 18, 2012 11:27 am    Oggetto: Rispondi citando

in effetti... cmq ho già scritto sopra cosa volevo ottenere... mi è stata consigliata questa configurazione...
Ripeto...
Voglio semplicemente che chi sta dietro a CP venga reindirizzato al login hotspot. e che possa navigare sulle porte 80, 443, 53.
Tutte le altre devono essere chiuse.

Il traffico una volta finito il tempo di connessione pre impostato dall account, si blocchi.

tutto qui.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mar Set 18, 2012 11:47 am    Oggetto: Rispondi citando

La config. che ti ho consigliato ( testata e funzionante) , non è esattamente quella che hai postato qui sopra... Wink
la riposto
Codice:
   
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       all  --  ETH01  *      !192.168.1.0/24       0.0.0.0/0            /* drop_wrong_s_ip */

  155 15728 ACCEPT     all  --  ETH03  ETH01   192.168.191.0/28     192.168.1.0/24       /* accept_from_main_net */

  181 97220 ACCEPT     all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     state RELATED,ESTABLISHED /* accept_ret_pkt_to_main_net */

   15   720 DROP       all  --  ETH01  ETH03   192.168.1.0/24       192.168.191.0/28     /* drop_pkt_to_main_net */

 1273  234K chk_port   all  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            /* check_allowed_protocol */
ovviamente , questa è quella ho usato io , adeguando alla tua config. interfacce ed ip addresses , dovresti ottenere qualcosa di simile
Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       all  --  ETH01  *      !10.0.0.0/8       0.0.0.0/0            /* drop_wrong_s_ip */

  155 15728 ACCEPT     all  --  ETH01  ETH00   192.168.1.0/24     10.0.0.0/8       /* accept_from_main_net */

  181 97220 ACCEPT     all  --  ETH00  ETH01   10.0.0.0/8       192.168.1.0/24     state RELATED,ESTABLISHED /* accept_ret_pkt_to_main_net */

   15   720 DROP       all  --  ETH00  ETH01   10.0.0.0/8       192.168.1.0/24     /* drop_pkt_to_main_net */

 1273  234K chk_port   all  --  ETH00  *       0.0.0.0/0            0.0.0.0/0            /* check_allowed_protocol */
il perchè della prima regola , è spiegato sopra , riporto anche quello
Citazione:
Nella prima regola ,..... , potrebbe anche essere superflua e si potrebbe toglierla, ma facendo dei test, ho visto che ogni tanto arrivano dei pacchetti con source ip address di vodafone ( qualche I(qualcosa) in umts che si è anche associato all AP ) che cercano di "passare" ....non passerebbero comunque , ma almeno gli seghi le gambe subito se non fà parte della tua rete....


Non è che hai problemi con i free clients ?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it