Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[RISOLTO]Info: hotspot, nascondere reti

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
dirty_paul



Registrato: 06/09/11 10:02
Messaggi: 5

MessaggioInviato: Mar Set 06, 2011 10:20 am    Oggetto: [RISOLTO]Info: hotspot, nascondere reti Rispondi citando

Salve,
ho un problema, forse ancora non mi è chiaro su come funzionano le reti.
Vorrei fare un hotspot dove si connettono gratuitamente i miei clienti.
Attualmente ho un router Alice wi-fi dove mi connetto anche io.
Per procedere in sicurezza, come dovrebbe essere strutturata la rete in modo che io possa navigare senza essere visto dalla rete pubbliza wifi.

Dispongo, oltre al modem/router di Alice, di un linksys WRT54GL con firmare dd-wrt installato, posso eventualmente aggiungere senza problemi una macchina zeroshell.

Il problema è che con tutte le prove fatte, riesco sempre ad accedere alla rete "principale" esempio di come ho affrontato il problema (scusate se non uso termini tecnici):

INTERNET
|
Modem Alice
(192.168.1.0/24)
| |
| io mi connetto qui (wi-fi ed ethernet)
|
(ETH00)
Zeroshell
(ETH01)
(192.168.10.0/24)
|
clienti

Per poter nascondere la rete 192.168.1.0/24 dalla rete ETH01 di ZS come devo procedre?
Oppure, sicuramente, sbaglio io e va configurato tutto diversamente.

GRAZIE


L'ultima modifica di dirty_paul il Gio Set 08, 2011 2:07 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
AMDFabio



Registrato: 02/08/08 10:53
Messaggi: 177
Residenza: Monteombraro

MessaggioInviato: Mer Set 07, 2011 8:54 pm    Oggetto: Rispondi citando

Ma come raggiungi la rete 192.168.1.0/24?? Pingando?? Se si allora ti basta mettere nel fw di ZS che il protocolo ICMP che va da ETH00 a 192.168.1.0/24 è da scartare (drop)
_________________
skype: amdfabio91

Le sfide dell'informatica:
1) Windows vs Linux vs Mac
2) AMD vs Intel
3) Nvidia vs Ati(aquisita dall'AMD)
4) Windows 7 vs Windows XP
Top
Profilo Invia messaggio privato Invia e-mail Yahoo MSN
dirty_paul



Registrato: 06/09/11 10:02
Messaggi: 5

MessaggioInviato: Gio Set 08, 2011 10:16 am    Oggetto: Rispondi citando

intanto grazie per la risposta.

Oltre al ping, che risolvo come mi hai consigliato te, ci sono stampanti di rete, ed altri pc connessi che rilevo tranquillamente con nmap.

Riesco a vedere la pagina di configurazione del modem/router principale di alice (anche se è protetto l'accesso).

Vorrei, se possibile, evere due reti distinte che non si vedano tra loro, che esista solo una unica connessione internet ma impossibilità di accedere/sniffare/pingare l'una con l'altra (o quantomeno quella wifi dell'hotspot non veda la mia privata)

GRAZIE
Top
Profilo Invia messaggio privato
AMDFabio



Registrato: 02/08/08 10:53
Messaggi: 177
Residenza: Monteombraro

MessaggioInviato: Gio Set 08, 2011 10:56 am    Oggetto: Rispondi citando

prova a inserire la seguente regola: (le voci non indicate sono vuote)
Input: ETH00
Output: ETH01
Source IP: 192.168.1.0/24

con questa regola dovresti scartare tutte le risposte dalla tua rete senza bloccare la navigazione dal hotspot...

dimmi se va a buon fine...
_________________
skype: amdfabio91

Le sfide dell'informatica:
1) Windows vs Linux vs Mac
2) AMD vs Intel
3) Nvidia vs Ati(aquisita dall'AMD)
4) Windows 7 vs Windows XP
Top
Profilo Invia messaggio privato Invia e-mail Yahoo MSN
dirty_paul



Registrato: 06/09/11 10:02
Messaggi: 5

MessaggioInviato: Gio Set 08, 2011 1:23 pm    Oggetto: Rispondi citando

perfetto!!!
avevo gia fatto qualche prova e funzionava perfettamente.
come è questa regola con iptables? (nel caso voglia farlo su altra macchina non zeroshell)

Un'altra richiesta:
posso fare la stessa cosa nella subnet di eth00 in modo che i pc connessi wifi non si vedano tra di loro o altro modo per limitare sniff mitm ecc.

GRAZIE
Top
Profilo Invia messaggio privato
AMDFabio



Registrato: 02/08/08 10:53
Messaggi: 177
Residenza: Monteombraro

MessaggioInviato: Gio Set 08, 2011 1:35 pm    Oggetto: Rispondi citando

come regola nelle iptables, non lo so..

cmq io ho messo la chain forward in drop, in modo tale che apro solo quello che mi serve...

per la richiesta aggiuntiva si puo fare tramite radius, ma non so come funzioni la cosa... e questa non è il miglior settore per fare queste domande, sarebbe meglio se spostassi la richiesta in radius...
_________________
skype: amdfabio91

Le sfide dell'informatica:
1) Windows vs Linux vs Mac
2) AMD vs Intel
3) Nvidia vs Ati(aquisita dall'AMD)
4) Windows 7 vs Windows XP
Top
Profilo Invia messaggio privato Invia e-mail Yahoo MSN
dirty_paul



Registrato: 06/09/11 10:02
Messaggi: 5

MessaggioInviato: Gio Set 08, 2011 1:37 pm    Oggetto: Rispondi citando

Per il momento ti ringrazio, già è sufficiente così.
Per il resto vedo in giro se trovo qualcosa

grazie
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Dom Dic 09, 2012 8:00 pm    Oggetto: Rispondi citando

Ho lo stesso problema che quì sembra essere risolto ma non riesco a capire come... Qualcuno mi può aiutare?
Potrebbe essere una soluzione quella di usare tre schede di rete:
- una collegata al modem,
- una collegata alla rete privata,
- una collegata alla rete pubblica con CP attivato.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Dic 09, 2012 9:17 pm    Oggetto: Rispondi citando

Questa è la chain di forward di una alix con 3 shede di rete , ETH00 192.168.132.0/29 lan privata, ETH01 10.10.10.0/24 lan "Pubblica" (CP attivo) , ETH02 192.168.1.2/24 Wan, VPN99 192.168.252.0/29
Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
21531   23M ACCEPT     all  --  ETH02  !ETH01  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 REJECT     all  --  ETH01  *      !10.10.10.0/24        0.0.0.0/0            reject-with icmp-admin-prohibited
14396 3928K ACCEPT     all  --  ETH00  !VPN99  192.168.132.0/29     0.0.0.0/0           
    0     0 ACCEPT     all  --  ETH01  ETH00   10.10.10.0/24        192.168.132.0/29     state RELATED,ESTABLISHED /* accept_return_packet_from_eth01_to_eth00 */
    0     0 DROP       all  --  ETH01  ETH00   10.10.10.0/24        192.168.132.0/29   
    0     0 ACCEPT     all  --  VPN99  *       192.168.252.2        0.0.0.0/0            /* accept_all_from_vpn_admin */
    0     0 ACCEPT     all  --  *      VPN99   0.0.0.0/0            192.168.252.2        state RELATED,ESTABLISHED /* accept_return_packet_to_vpn_admin */
    0     0 DROP       all  --  ETH01  VPN99   10.10.10.0/24        192.168.252.0/29   
    0     0 ACCEPT     all  --  ETH02  ETH01   0.0.0.0/0            10.10.10.6           state RELATED,ESTABLISHED /* accept_return_packet_to_iphone_xxxx */
    0     0 ACCEPT     all  --  ETH02  ETH01   0.0.0.0/0            10.10.10.5           state RELATED,ESTABLISHED /* accept_return_packet_to_pc_yyyyy */
    0     0 CapPort    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Alcuni contatori sono a 0 perchè attualmente il dispositivo è in .. maintenance (upgrade da RC1 a RC2). La prima regola permette il ritorno dalla wan di tutti i pacchetti non destinati alla ETH01( quella con CP attivo) ,diversamente l'accountig non si incrementa. La seconda droppa subito eventuali pacchetti entranti dalla ETH01 con source ip address diverso da 10.10.10.0/24 ( è successo....)
La terza accetta tutto dalla ETH00 purchè non sia diretto verso la VPN. La quarta permette il ritorno di pacchetti dalla ETH01 (dietro il CP) verso la ETH00.... per il management dei dispositivi , switch , AP's ....
La quinta droppa tutto ciò che entra dalla ETH01 diretto alla ETH00.
La sesta permette tutto dalla VPN , e la settima permette il ritorno verso la VPN.
l'ottava droppa ciò che entra dalla ETH01 diretto alla VPN
La nona e la decima permettono a 2 free clients di navigare , in teoria non dovrebbero servire , ma con la default policy a drop... se non le inserivo , non navigavano.
L'ultima è quella aggiunta in automatico all'attivazione del CP.
ciao
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Dom Dic 09, 2012 9:54 pm    Oggetto: Rispondi citando

Grazie!!!
Nel frattempo mi sono accorto che le regole che impostavo rimanevano sempre sopo quelle create dal proxy e dal CP, li ho disattivati, ho impostato la regola del FW che mi interessava e gli ho riattivati. Così facendo ora la mia regola è prima delle altre.... E' un bug oppure è giusto così?
Ho anche notato che con l'ultima versione di ZS installata il proxy non va più instato attivo (verde).
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Dic 09, 2012 10:19 pm    Oggetto: Rispondi citando

Per le regole , non ho capito granchè....Il proxy , sinceramente mi sembra funzionare sia su alix che su mini-itx , RC2 su tutte e due con Dansguardian..
A dire la verità , c'è ancora una regola che prima ho omesso( insieme ai log) ed è inserita all'ultimo posto , prima della chain CP automatica
Codice:
18   864 REJECT     all  --  ETH01  *       0.0.0.0/0            192.168.1.0/24       reject-with icmp-admin-prohibited
Serve ad evitare che i clients del CP , una volta autenticati , possano comunque raggiungere la rete (periferiche , router..) "davanti" allo ZS
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Sab Dic 15, 2012 9:40 pm    Oggetto: Rispondi citando

Ciao redfive,
oggi ho avuto tempo di leggere meglio e con attenzione le regole in quanto sto configurando ZS.

Leggendo le regole dall'alto verso il basso mi potresti spiegare alcune cose:

- se un pacchetto rispetta la quarta regola viene accettato (ACCEPT) e non vengono controllate le regole sottostanti (GIUSTO?) quindi la quinta regola non serve a nulla perchè tutti i pacchetti in arrivo da ETH01 a ETH0 rientrano nella regola 4;

- la settima regola accetta tutti i pacchetti di ritorno verso la VPN99 ma perchè è riportato 192.168.252.2, non dovrebbe essere 192.168.252.0/29?

- anche la sesta regola riporta 192.168.252.2....

Paolo
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Sab Dic 15, 2012 10:14 pm    Oggetto: Rispondi citando

Ciao , la quarta regola permette i pacchetti di "ritorno"(RELATED,ESTABLISHED) dalla ETH01 alla ETH00 , ciò che entra dalla ETH00 verso "tutte le destinazioni" ad esclusione della VPN99 era permesso dalla regola 3. La regola 5 non permette connessioni dalla ETH01 verso la ETH00.
Un host appartenente alla 192.168.132.0/29(ETH00) deve gestire un AP appartenente alla 10.10.10.0/24 (ETH01) , la regola 3 permette tale connessione , la 4 permette le risposte . Se invece un host appartenente alla 10.10.10.0/24 (ETH01) tentasse di connettersi a qualsiasi "cosa" nella rete 192.168.132.0/29(ETH00) , la 5 lo droppa. Per la sesta e la settima , in effetti c'è un pò di confusione... all'admin viene assegnato dalla vpn l'ip virtuale 192.168.252.2 , che è quello che mi interessa , eventualmente altri vpn-users potrebbero avere limitazioni( in funzione del virtual ip add. loro assegnato) l'ottava comunque droppa tutto ciò che entra dalla ETH01 verso la rete vpn (192.168.252.0/29) e che non soddisfa la regola precedente .
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Dom Dic 16, 2012 6:39 pm    Oggetto: Rispondi citando

Grazie per la risposta!
Paolo
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Lun Dic 17, 2012 6:20 pm    Oggetto: Rispondi citando

Ho finalemnte finito di configurare l'Hotspot ed il FW seguendo le tue regole ma ho ancora un problema in quanto gli utenti del CP riescono ad accedere al router/gateway (192.168.1.1) collegato alla porta WAN.
questa regola
REJECT all -- ETH01 * 0.0.0.0/0 192.168.1.0/24 reject-with icmp-admin-prohibited
non dovrebbe bloccare questo tipo di collegamento?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Dic 17, 2012 6:24 pm    Oggetto: Rispondi citando

Se il proxy è attivo, è possibile ... in tal caso , prova ad inserire una regola proxy di non cattura con dest.ip address 192.168.1.0/xx
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Mar Dic 18, 2012 9:08 pm    Oggetto: Rispondi citando

Mi sono letto tutta la documentazione sul transparent proxy ed ora lo ho configurato e le regole funzionano!!!
Mi rimane un ultimo problema che non riesco a capire, non riesco ad accedere ai AP collegati alla scheda pubblica con CP dalla WAN e dalla rete privata. Ho configurato il FW, ho autorizzato l'AP tramite il suo IP e MAC per bypassare il CP ma niente, l'unico modo per accederi è quella di collegarsi alla Lan pubblica!
Quale può essere il problema?
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Ven Dic 21, 2012 12:55 pm    Oggetto: Rispondi citando

Ho letto tutte le guide possibili su iptable e FW ma non riesco ad accedere algli AP sulla rete pubblica dalle atre due reti, qualcuno mi sa dare un'imbeccata??
Smile Se finiva il modo sare rimasto con il dubbio...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Dic 21, 2012 9:51 pm    Oggetto: Rispondi citando

Re-installato l'alix , ed ho generato un pò di traffico , giusto per visualizzare cosa succede. La topologia è la seguente:
modem/router alice 192.168.1.1/24
ZS ETH02 192.168.1.2/24 (wan)
ZS ETH01 10.10.10.0/24 (Pubblic , CP, Proxy)
ZS ETH00 192.168.132.1/29 (private lan)

Con una chain di forward come questa
Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target   prot opt in     out     source             destination         
1     2180 1435K ACCEPT   all  --  ETH02  !ETH01  anywhere           anywhere           state RELATED,ESTABLISHED
2     2190  315K ACCEPT   all  --  ETH00  any     192.168.132.0/29   anywhere           
3      669  531K ACCEPT   all  --  ETH01  ETH00   10.10.10.0/24      192.168.132.0/29   state RELATED,ESTABLISHED
4       41  2204 DROP     all  --  ETH01  any     anywhere           192.168.0.0/16 
5    1088  246K  CapPort  all  --  any    any     anywhere           anywhere   
dovresti essere in grado di accedere agli access point nella rete 10.10.10.0/24 dalla rete 192.168.132.0/29 senza dichiararli free-clients , gli hosts appartenenti sempre alla 10.10.10.0/24 , anche se autenticati non hanno accesso alla rete 192.168.1.0/24. Nello specifico
regola 1 2180 pkt di ritorno dalla wan verso la eth00
regola 2 2190 pkt entrati dalla eth00
regola 3 669 pkt di ritorno dalla eth01 verso la eth00 (get. ap dalla private)
regola 4 41 pkt droppati entrati dalla eth01 e diretti a 192.168.1.1
Se hai il proxy attivo , dovrebbe qualcosa del genere
Codice:
Chain Proxy (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    9   456 ACCEPT     tcp  --  ETH01  *       0.0.0.0/0            192.168.0.0/16     
  436 22672 REDIRECT   tcp  --  ETH01  *       0.0.0.0/0            0.0.0.0/0            redir ports 55559

Per gestire gli Ap nella rete 10.10.10.0/24 dalla rete "Wan" (192.168.1.0/24) , la cosa è leggermente diversa , in quanto gli hosts di tale rete avranno come default-gateway 192.168.1.1 , quindi se devono inviare qualcosa ad una rete che non è la propia , lo inviano a tale indirizzo , quindi è necessaria una statica sul default-gateway , tipo
Codice:
ip route 10.10.10.0 255.255.255.0 via 192.168.1.2
ed in piu' , il nat è abilitato sulla eth02 di Zs , per far si che i pacchetti di ritorno dagli AP verso la rete "Wan" la non vengano nattati , in Startup/Cron>> NAT and Virtual Servers script
Codice:
iptables -t nat  -I POSTROUTING 1   -s 10.10.10.0/24  -d 192.168.1.0/24 -o ETH02 -j ACCEPT
Nella chain di forward andrebbero aggiunte 2 regole , da inserire prima della 4
Codice:
ACCEPT   all  --  ETH02  ETH01  192.168.1.0/24     10.10.10.0/24     
ACCEPT   all  --  ETH01  ETH02   10.10.10.0/24     192.168.1.0/24     state RELATED,ESTABLISHED
La parte precendente è ok , questa , relativa alla gesione deglia AP dalla Wan , dovrebbe essere ok...
Top
Profilo Invia messaggio privato
paolo.air



Registrato: 24/11/12 15:57
Messaggi: 41

MessaggioInviato: Ven Dic 21, 2012 10:08 pm    Oggetto: Rispondi citando

Grazie...
In questi giorni ci provo, almeno ad accedere dalla LAN privata.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it