Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall e Teoria

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
roberto.schiano



Registrato: 17/04/14 09:54
Messaggi: 84

MessaggioInviato: Lun Set 29, 2014 9:45 am    Oggetto: Firewall e Teoria Rispondi citando

Buongiorno a tutti.
Premetto che ho spulciato il forum trovando diversi post sull'uso delle regole del firewall.
Sicuramente per mia ignoranza non riesco a capire alcuni meccanismi e vorrei aiuto anche per essere indirizzato a trovare le risposte alle domande che mi faccio.

Faccio un esempio:
macchina ZS funzionante con catene di chain Input e output su Accept. Catena di Forward su Drop. Quindi nego tutto il traffico in transito.
Voglio permettere il traffico sulla porta 80, inserisco queste regole che seguono e permetto la navigazione web.

Chain FORWARD (policy DROP 4 packets, 220 bytes)
pkts bytes target prot opt in out source destination
55578 1694K ACCEPT tcp -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
24125 29M ACCEPT tcp -- ETH00 ETH01 0.0.0.0/0 0.0.0.0/0 tcp spt:80

E tutto OK.

se invece metto una regola sola del tipo:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 dpt:80

Non si naviga più...
Ripeto, mia ignoranza, ma la seconda regola non riassume le due precedenti? Che cosa non torna?

Grazie anticipatamente a chi volesse rispondere.
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Set 29, 2014 3:16 pm    Oggetto: Rispondi citando

nella seconda regola vedo scritto

porta 80 destinazione e sorgente

cio' vuol dire che se il mio pc (postazione) fa una richiesta di una pagina internet ( www.sito.it:80 ) usando come porta di dialogo la 80 questo viene regolarmente fatta passare

mentre se usa una porta differente questa non passa


nel 99.99999999999% (forse il 100%) dei casi le porte che un client usa per fare una richiesta non sara' MAI la porta 80

P.S. in teoria se togli spt dalla regola, dovrebbe andare.

(spero di essermi speigato decentemente Very Happy )
Top
Profilo Invia messaggio privato
roberto.schiano



Registrato: 17/04/14 09:54
Messaggi: 84

MessaggioInviato: Lun Set 29, 2014 4:12 pm    Oggetto: Regole firewall Rispondi citando

Quindi farla diventare così:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

permettere su tutte le interfacce di rete e su tutti gli IP traffico che abbia come destinazione la porta 80. Correggimi se sbaglio la traduzione.

Ci provo e ti dico.
Grazie
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Set 29, 2014 4:27 pm    Oggetto: Rispondi citando

esatto.
Top
Profilo Invia messaggio privato
roberto.schiano



Registrato: 17/04/14 09:54
Messaggi: 84

MessaggioInviato: Lun Set 29, 2014 4:29 pm    Oggetto: Regole firewall Rispondi citando

Provato ma niente da fare.
ho configurato in questo modo:

Chain FORWARD (policy DROP 1423 packets, 80268 bytes)
pkts target prot opt in out source destination
xx xx ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
xx xx ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

La prima regola per liberare i ping in tutte le direzioni OK.
La seconda per navigare ma niente da fare, non è un problema di DNS perchè il ping mi risolve i nomi e viceversa, ho provato a navigare utilizzando direttamente un IP e il risultato non cambia.
C'è sicuramente qualcosa che mi sfugge, purtroppo non sono un esperto.
Grazie
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Set 29, 2014 9:04 pm    Oggetto: Rispondi citando

in teoria dovrebbe essere giusta, appena ho un secondo provo a mettere la regola sulla macchina di test e ti faccio sapere.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Set 29, 2014 10:06 pm    Oggetto: Rispondi citando

Con la default policy a DROP, devi permettere anche il ritorno dei pacchetti, puoi usare, come prima regola nella chain di FORWARD, (input iface) wan, (output iface lan) ACCEPT , RELATED, ESTABLISHED, poi crei le regole per il traffico che vuoi permettere in uscita, (input iface) lan, (output iface) wan , s.ip, port, proto.....il traffico di ritorno sarà consentito dall prima regola (se come dns usi ZS stesso ok, altrimenti, se nel pool dhcp dichiarassi come dns server, es google, 8.8.8.8-8.8.4.4, dovresti anche permettere il forwarding del traffico dns).
La chain di input, lasciarla ad ACCEPT su tutte le interfacce, non è tanto 'igenico', velocemente puoi creare delle regole di ACCEPT per la/e interfaccia/e interne e creare una regola per la wan, sempre ad ACCEPT, ma dichiarando RELATED, ESTABLISHED ( detta mooolto velocemente, eh..poi , piu' sono granulari e scritte correttamente, con la giusta sequenza, e meglio è).
ciao
Top
Profilo Invia messaggio privato
roberto.schiano



Registrato: 17/04/14 09:54
Messaggi: 84

MessaggioInviato: Mar Set 30, 2014 8:14 am    Oggetto: Regole firewall Rispondi citando

Grazie delle risposte.
Comunque avrete capito che anche io sto facendo dei test e facendo DROP sul Forward e inserendo solo queste due regole navigo in internet. Ho capito che il traffico deve essere in ambo i sensi e le regole sopra lo permettono. Queste dovrebbero essere quelle che suggerisce Red.

Chain FORWARD (policy DROP 4 packets, 220 bytes)
pkts bytes target prot opt in out source destination
55578 1694K ACCEPT tcp -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
24125 29M ACCEPT tcp -- ETH00 ETH01 0.0.0.0/0 0.0.0.0/0 tcp spt:80

La mia domanda è:
la regola che segue, unisce e lavora come quelle sopra? A senso io direi di si ma evidentemente mi sbaglio, perché con la regola seguente non si naviga...

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 dpt:80

E se questa non va bene perché troppo generica e non divisa per i due sensi perché questa che segue va bene?

Chain FORWARD (policy DROP 27499 packets, 1894K bytes)
pkts bytes target prot opt in out source destination
16 1K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

C'è un testo o un manuale per capire meglio le dinamiche di cui stiamo parlando?
Ancora grazie per le vostre preziose risposte.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Mar Set 30, 2014 8:09 pm    Oggetto: Rispondi citando

Per la verità , avevo suggerito piu' qualcosa di simile

Chain FORWARD (policy DROP )
pkts bytes target prot opt in out source destination
1 ACCEPT -- ETH00 ETH01 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT tcp -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
3 ACCEPT icmp -- ETH01 ETH00 0.0.0.0/0 0.0.0.0/0 icmptype 8


Queste tre regole, permettono a ciò che 'entra' dalla ETH01 (lan) di 'uscire' dalla ETH00 (wan) , a patto che siano richieste sulla tcp 80(2) o icmp echo-request(3), e di effettuare il percorso inverso(1).
Citazione:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 dpt:80
Questa regola permette il transito di pacchetti che abbiano (al L4) sia come porta sorgente che come porta di destinazione la tcp 80, ma normalmente un client che richiede una pagina web, usa come s.port una porta random (maggiore di 1023) e come destinazione la 80, mai la 80 come s.port, ma la regola sopra, per essere soddisfatta, richiede invece che sia la spt che la dpt siano la tcp 80....
Citazione:
Chain FORWARD (policy DROP 27499 packets, 1894K bytes)
pkts bytes target prot opt in out source destination
16 1K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

Questa funziona perchè non fà altro che accettare tutti i tipi di icmp, da qualsiasi interfaccia e da qualsiasi ip address.
ciao
Top
Profilo Invia messaggio privato
roberto.schiano



Registrato: 17/04/14 09:54
Messaggi: 84

MessaggioInviato: Mer Ott 01, 2014 3:11 pm    Oggetto: Regole firewall Rispondi citando

OK, tutto molto chiaro.
Ma se volessi erudirmi maggiormente sull'argomento? Mi sembra di aver capito che si parla di un comando linux e sue opzioni o sbaglio.

Manualistica o testi che trattano la materia?

Grazie ancora
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Lun Ott 06, 2014 7:58 am    Oggetto: Rispondi citando

se non ricordo male il comando dovrebbe essere iptables

trovi parecchie informazioni in rete.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it