Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Nuovello Zeroshelliano.. tante botte con il firewall

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
psycho



Registrato: 28/02/07 12:21
Messaggi: 4

MessaggioInviato: Mer Feb 28, 2007 12:38 pm    Oggetto: Nuovello Zeroshelliano.. tante botte con il firewall Rispondi citando

Salve ragazzi innanzitutto complimenti a zeroshell, il progetto è carino è funzionale. Io fino ad ora ho configurato i router/firewall sempre con distribuzioni classiche tipo slackware/debian con i classici script fatti in casa per iptables. Ora volevo provare questo zeroshell ma riscontro qualche problema. Sicuramente sarò io che sbaglierò in qualcosa e quindi vi chiedo aiuto. la mia necessità è quella di bloccare tutto il traffico dalla lan alla rete internet, ovviamente tranne per alcuni servizi, bloccare tutto ciò che entra tranne l'https e ciò che è relativo a connessioni esistenti, e far uscire tutto dal firewall. Quindi

FORWARD
Deve accettare solo
Echo request/reply http/https servizi di rete locale, posta
Questo è il codice
Codice:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1708  204K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  597  360K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1863
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:130
   61  3240 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
 3307 3838K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


OUTPUT
Tutto ciò che è nuovo e già stabilito
Codice:

hain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 4757 1049K SYS_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 4507 1028K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED


INPUT
Tutto ciò che riguarda connessioni già stabilite e l'https

Codice:

Chain INPUT (policy DROP 28 packets, 4668 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2441  202K SYS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   14  1430 SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
 1903  137K SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
   23  1827 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


Bene la mia piccolissima esperienza crede che una configurazione del genere dovrebbe essere corretta, ma non capisco perchè così sono tagliato fuori da internet. Ho fatto qualche prova e praticamente c'è qualcosa che sbaglio nella catena di INPUT infatti se metto ACCEPT come politica logicamente esco verso internet. Nella lista delle regole di iptables da shell appaiono anche altre catene di default gestite da zeroshell ma credo che quelle non debbano essere toccate giusto???
Cosa ne pensate?Dove è il mio errore?? Scusate per la lunghezza del post
Top
Profilo Invia messaggio privato MSN
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Mer Feb 28, 2007 2:00 pm    Oggetto: firewall Rispondi citando

ciao psycho
ti consiglio di lavorare sul forward per scrivere le regole relative al traffico che deve entrare ed uscire.
Per esempio:
se devi far passare solo la porta 80 in uscita dall rete interna ad internet devi definire 2 regole:
la prima ( in ordine partendo dall'alto..quindi con priorità più alta rispetto alla seconda) nella quale vi è scritto che: la rete internet ( per esempio 192.168.0.0/24) verso la rete esterna ( 0.0.0.0) sul protocollo TCP porta di destinazione 80 , accept ( salva).
la seconda ( in ordine starà sotto alla prima) che blocca tutto il resto: da 0.0.0.0 a 0.0.0.0 protocol ALL , reject, (salva).

Verifica che siano nell'ordine corretto e vedrai che potrai solo usare la porta 80 in uscita.

si vuoi guardare in

http://digilander.libero.it/smasherdevourer/schede/linux/Zeroshell%20vpn.pdf

trovi nelle ultime pagine due dritte per scrivere tali regole.
ciao
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Mer Feb 28, 2007 2:02 pm    Oggetto: Rispondi citando

correggo un errore di scrittura:

ciao psycho
ti consiglio di lavorare sul forward per scrivere le regole relative al traffico che deve entrare ed uscire.
Per esempio:
se devi far passare solo la porta 80 in uscita dall rete interna ad internet devi definire 2 regole:
la prima ( in ordine partendo dall'alto..quindi con priorità più alta rispetto alla seconda) nella quale vi è scritto che: la rete INTERNA ( per esempio 192.168.0.0/24) verso la rete esterna ( 0.0.0.0) sul protocollo TCP porta di destinazione 80 , accept ( salva).
la seconda ( in ordine starà sotto alla prima) che blocca tutto il resto: da 0.0.0.0 a 0.0.0.0 protocol ALL , reject, (salva).

Verifica che siano nell'ordine corretto e vedrai che potrai solo usare la porta 80 in uscita.

si vuoi guardare in

http://digilander.libero.it/smasherdevourer/schede/linux/Zeroshell%20vpn.pdf

trovi nelle ultime pagine due dritte per scrivere tali regole.
ciao
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
psycho



Registrato: 28/02/07 12:21
Messaggi: 4

MessaggioInviato: Mer Feb 28, 2007 3:56 pm    Oggetto: Rispondi citando

Scusa ma se definisco una policy drop e elenco solo le connessioni che voglio accettare non è la stessa cosa? Io non capisco perchè la chain INPUT anche se ho definito la regola
Codice:
ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED

mi blocca il traffico entrante relativo alle connessioni già stabilite? Io su Forward ho anche definito una policy ACCEPT ma cmq continuo a non aver accesso a internet se non setto ACCEPT alla chain INPUT
Top
Profilo Invia messaggio privato MSN
psycho



Registrato: 28/02/07 12:21
Messaggi: 4

MessaggioInviato: Mer Feb 28, 2007 4:59 pm    Oggetto: Rispondi citando

allora ho fatto un'altra prova ecco la configurazione:
Codice:


Chain INPUT (policy DROP 8 packets, 893 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  460 44212 SYS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  376 33669 SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


Chain OUTPUT (policy ACCEPT 1328 packets, 307K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1372  312K SYS_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0   


Chain FORWARD (policy ACCEPT 248 packets, 167K bytes)
 pkts bytes target     prot opt in     out     source               destination   


Ma nada non riesco ad uscire verso internet per farlo devo settare obbligatoriamente la policy di INPUT ad ACCEPT.
Purtroppo devo consegnare questo lavoretto a un cliente e non lo sopporto più mi sta opprimendo! Alcune volte li piglierei a calci nel c***
Top
Profilo Invia messaggio privato MSN
JML.it



Registrato: 08/11/06 22:00
Messaggi: 26
Residenza: Castiglione del Lago (PG)

MessaggioInviato: Mer Feb 28, 2007 5:41 pm    Oggetto: Rispondi citando

Per la mia umile esperienza, le regole INPUT e OUTPUT incidono solo riferiti alle connessione relative agli indirizzi ip assegnati al server (nel nostro caso ZeroShell) (a partire dal kernel 2.4.x e succ.).
Se devi permettere o negare il transito di determinati pacchetti, devi obbligatoriamente andare a lavorare sulla regola FORWARD.

Non ho messo mano alla command-line di ZeroShell per verificare eventuali personalizzazioni, in mancanza di cio, quanto detto sopra, è legge. Smile
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Feb 28, 2007 5:52 pm    Oggetto: Rispondi citando

E' proprio come dice JML.it.
Mettendo un DROP sulla INPUT stai impedendo ai client della tua LAN di accedere al DNS che gira su ZeroShell. In questa maniera non riesci a navigare perché gli hostname non vengono risolti in IP. Prova a digitare direttamente un IP server web nel browser di un client della tua LAN. Dovrebbe funzionare.
Pertanto le chain INPUT e OUTPUT vanno utilizzate solo per proteggere il box Zeroshell, mentre la FORWARD per il resto.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
psycho



Registrato: 28/02/07 12:21
Messaggi: 4

MessaggioInviato: Gio Mar 01, 2007 9:25 pm    Oggetto: Rispondi citando

Risolto ieri notte!! Praticamente io guardavo le regole del firewall dal web e a voi incollavo quelle che appaiono quando clicchi sul tasto view. Bene praticamente il segnetto di spunta (active) sulla regola udp 53 etc... non c'era quindi io vedevo una regola che permettesse l'accesso al servizio dns del firewall ma in realtà era disabilitata. Mi scuso con voi, siete stati gentilissimi la prox volta sarò piu attento!
Grazie
Top
Profilo Invia messaggio privato MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it