Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

aiuto per creare una guida per configurare firewall

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
giovannnnni



Registrato: 09/03/12 00:48
Messaggi: 75

MessaggioInviato: Lun Set 17, 2012 11:53 pm    Oggetto: aiuto per creare una guida per configurare firewall Rispondi citando

ciao , cerco qualche anima pia che mi spieghi come realmente funziona il firewall di zeroshell.
sono autodidatta ma quello che ho capito da guide sparse in giro su firewall linux non sembra coincide con quello che metto in pratica con zeroshell.

il firewall essenzialmente diviso in 3 parti:INPUT,OUTPUT,FORWARD
(sempre x quello che ne ho capito)

INPUT: è tutto cio' che entra nel server attraverso un interfaccia " es un ping verso la sheda di rete del server"

OUTPUT è tutto cio' che esce

FORWARD è il traffico che attraversa il server ma non le interfacce stesse "es: se voglio bloccare il ping dell'ip della sheda di rete del server vado su INPUT e non su FORWARD, se voglio bloccare il ping del router che sta dietro a zeroshell vado su FORWARD

QUELLO CHE NON CAPISCO CHE SIGNIFICA POLICY???

se attivo ACCEPT tutto è accettato tranne quello che nego con le regole?
se attivo DROP tutto è negato tranne quello che attivo nelle regole?

???????????????????
LE CATENE DI IPABLES
logica vuole che la regola n 1 non possa annullare la n 2, o che la possa riconfermare ?
esempio: siamo in INPUT configurato come policy in drop
* * DROP icmp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED

ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED

cosi (sempre secondo mia massima ignoranza) con la prima regola dovrei bloccare il ping a tutte le schede e con la seconda dovrei riabilitare tutto sull' eth00, ma qualcosa non va? diciamo meglio che non funziona.

PERCHE' SE FORWARD BLOCCO UNA PORTA TCP es:21 CONFIGURANDO COME AZIONE DROP NON FUNZIONA MENTRE CON REJECT SI?


cerco qualcuno che mi dice dove sbaglio, da quello che ho visto in giro ho capito che prima si apre tutto e poi si vanno chiudendo i buchi con delle regole mirate, ma con una regola ne aggiusto una e ne rompo un altra.

datemi una mano e poi la pubblico io una guida dettagliata per configurare il firewall di zeroshell.
io ho guardato questo
http://it.wikipedia.org/wiki/Netfilter
grazie
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 508

MessaggioInviato: Mar Set 18, 2012 11:06 am    Oggetto: Rispondi citando

Basta che guardi uno dei tanti tutorial di iptables... ZS è un'interfaccia web "diretta" (di basso livello, ovvero con poca astrazione) verso iptables. Se ti sembra che qualcosa non torni, o stai usando un tutorial molto vecchio (pre-iptables) o non lo hai capito bene.

"Policy" puoi tradurlo con "regola" o "insieme di regole". La default policy è quella che viene applicata se nessun'altra regola dice di fare diversamente.

La differenza tra REJECT e DROP è che con REJECT viene inviata una risposta (un NAK) che attivamente dice che la connessione è stata rifiutata. DROP invece si limita ad ignorare il pacchetto, come se non fosse mai arrivato.

INPUT: pacchetti diretti a ZS direttamente, non ad un host "dietro"
OUTPUT: tutto ciò che viene originato da ZS
FORWARD: tutto ciò che attraversa ZS, ovvero i pacchetti che vanno routati
Top
Profilo Invia messaggio privato
giovannnnni



Registrato: 09/03/12 00:48
Messaggi: 75

MessaggioInviato: Mer Set 19, 2012 8:07 am    Oggetto: Rispondi citando

grazie 1000

solo una cosa.

la sequenza delle regole:

se cambio la sequenza cambio l'effetto, quindi se in una regola nego a tutto cio' che attraverersa zeroshell di raggiungere il ping o tutti i protocolli (es Protocol Matching ALL dentro al pannelllo per fare le regole) e nella seconda
gli dico di permettere al IP xxx di raggiungere la porta 21 sull'interfaccia che va verso la wan dovrebbe funzionare?

conviene fare prima la regola verso la porta 21 e poi bloccare tutto oviceversa?

se potete fate un esempio.
grazie ancora

Laughing Laughing Laughing Laughing
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it