Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

"Ingabbiare" gli utenti loggati a navigare solo su

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fank



Registrato: 03/06/11 12:22
Messaggi: 48

MessaggioInviato: Dom Giu 23, 2013 6:30 pm    Oggetto: "Ingabbiare" gli utenti loggati a navigare solo su Rispondi citando

L'oggetto era un po' criptico: in breve, gli utenti una volta loggati (con ip dinamicoassegnato dalla zeroshell sulla rete 192.168.3.0) possono tranquillamente navigare su internet, passando dal gw (192.168.0.1) ovviamente passando attraverso la stessa rete (192.168.0.0). Il problema è che una volta autenticati possono anche accedere via browser a qualunque macchina che abbia un webserver attivo sulla rete 192.168.0.0. In poche parole, alla schermata di autenticazione del router, di un webserver interno alla lan e probabilmente ad altri server o servizi che girano sui pc della lan (ma su quest'ultima cosa non ho ancora fatto una prova). E' possibile aggiungere una regola all'iptables che obblighi gli utenti a direzionare tutte le connessioni verso internet (meglio ancora se non potessero neppure vedere la schermata di autenticazione del router)?
Devo mettere un network appliance, ma al momento la rete è abbastanza scoperta.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Giu 23, 2013 6:40 pm    Oggetto: Rispondi citando

Certo , è sufficiente inserire 1(3) regola(e) nella chain di forward , input l'interfaccia su cui è attivo il CP , output l'interfaccia wan di ZS ( che è anche la rete privata ) dest. ip "tutte" le reti private 10.0.0.0/8 , 172.16.0.0/12 e 192.,168.0.0/16 action DROP (log).
Se è attivo il proxy , crea anche 1(3) regola(e) di non cattura per gli stessi dest. ip addresses , diversamente alcune risorse in http sarebbero raggiungibili grazie al proxy.
ciao
Top
Profilo Invia messaggio privato
fank



Registrato: 03/06/11 12:22
Messaggi: 48

MessaggioInviato: Dom Giu 23, 2013 10:48 pm    Oggetto: Rispondi citando

redfive ha scritto:
Certo , è sufficiente inserire 1(3) regola(e) nella chain di forward , input l'interfaccia su cui è attivo il CP , output l'interfaccia wan di ZS ( che è anche la rete privata ) dest. ip "tutte" le reti private 10.0.0.0/8 , 172.16.0.0/12 e 192.,168.0.0/16 action DROP (log).
Se è attivo il proxy , crea anche 1(3) regola(e) di non cattura per gli stessi dest. ip addresses , diversamente alcune risorse in http sarebbero raggiungibili grazie al proxy.
ciao


Grazie! Mi tranquillizza sapere che si possa fare e con una certa facilità. Vedo come inserire la regola per iptables sulla base di quanto mi hai scritto e se ho problemi posto ancora.
Top
Profilo Invia messaggio privato
fank



Registrato: 03/06/11 12:22
Messaggi: 48

MessaggioInviato: Sab Giu 29, 2013 8:05 pm    Oggetto: Rispondi citando

Un amico mi ha suggerito questo e tutto funziona bene:

input:ETH01 Output:ETH00
DROP all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 192.168.0.2-192.168.0.254

cioè blocca tutto il traffico che NON è diretto al router (192.168.0.1), in pratica tutti i computer nella rete 192.168.0.x saranno irraggiungibili)

input:ETH01 output:*
DROP tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.0.1 tcp dpt:80

input:ETH1 output:*
DROP tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.0.1 tcp dpt:443

blocca l'accesso alla console web del router (porte 80 e 443)

però non ho capito il problema del transparent proxy. Al momento è disabilitato ma conto di riabilitarlo. Che problema potrei avere?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Giu 30, 2013 12:55 pm    Oggetto: Rispondi citando

Se la rete da "proteggere" è la sola 192.168.0.0/24 , basta una regola in forward
Codice:
1    ETH01   *    DROP all opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.0.0/24
tutto ciò che "entra" dalla ETH01 ed ha come dest.ip add. un indirizzo qualsiasi appartenente alla rete sopra specificata , verrà droppato.
Abilitando il proxy , tale servizio intercetterà le richieste destinate alla porta 80 , quindi inoltrerà i pacchetti lui stesso (bypassando le regole di forward).
Con una regola di non cattura per la rete 192.168.0.0/24 (associata alla regola di forward precedente) , nessun dispositivo (router, access point, stampanti, nas) sarà raggiungibile via web interface( http) dall'interfaccia ETH01. Per tutti gli altri protocolli( https,ssh, telnet, ftp...) , ci pensa direttamente la regola di forward.
ciao
Top
Profilo Invia messaggio privato
fank



Registrato: 03/06/11 12:22
Messaggi: 48

MessaggioInviato: Sab Lug 06, 2013 12:39 pm    Oggetto: Rispondi citando

redfive ha scritto:
Se la rete da "proteggere" è la sola 192.168.0.0/24 , basta una regola in forward
Codice:
1    ETH01   *    DROP all opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.0.0/24
tutto ciò che "entra" dalla ETH01 ed ha come dest.ip add. un indirizzo qualsiasi appartenente alla rete sopra specificata , verrà droppato.


Ma così non mi blocca anche il traffico diretto alla 192.168.0.1, il router adsl?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Sab Lug 06, 2013 12:59 pm    Oggetto: Rispondi citando

Esatto , droppa tutto il traffico diretto a quella rete , non il traffico in transito su quella rete. Se devi inviare una richiesta es. a google , nel campo dest.ip address del pacchetto ci sarà l'ip di google , non quello del router.
Nel frame che ZS poi inoltrerà al router (contenente il pacchetto di prima !) , il dest.mac-address sarà quello del router.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it