Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Ancora sul firewall aperto

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Linus



Registrato: 11/08/08 09:18
Messaggi: 32

MessaggioInviato: Ven Set 19, 2008 10:12 pm    Oggetto: Ancora sul firewall aperto Rispondi citando

A seguito del mio precedente problema che avevo esposto nel post "un firewall che non droppa" e al quale non ho ricevuto nessuna soluzione (o ...considerazione), volevo far presente che ho scoperto che il non funzionamento della regola del firewall era dovuto ad un probabile bypass dei pacchetti attraverso il httpproxy, in quanto aggiungendo la regola di "Don't capture request" riferiti agli stessi parametri della regola inserita nel firewall, quest'ultimo si è messo a funzionare.

Chain Proxy (2 references)
pkts bytes target prot opt in out source destination
23 1104 ACCEPT tcp -- ETH01 * 192.168.1.0/24 192.168.0.1
44 2112 REDIRECT tcp -- ETH01 * 192.168.1.0/24 0.0.0.0/0 redir ports 8080

Ritengo che questo sia un bug del programma e chiedo lumi a chi ne sa più di me.....

Grazie da Linus
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Ven Set 19, 2008 10:38 pm    Oggetto: Rispondi citando

Non è un bug..

Se tu pensi la cosa dal punto di vista di rete è corretta... i client, collegandosi al proxy non si collegano all'ip direttamente, ma si collegano a ZS.. quindi nel momento che tu fai 192.168.1.1 ti colleghi in realtà all'ip di ZS tramite un Redirect\dnat (quì nn vorrei dire caxxate sul metodo) via iptables.

Questa cosa ovviamente non permette al FW di vedere i pacchetti lato Forward, visto che li vede collegarsi in locale e non li forwarda.
Top
Profilo Invia messaggio privato
Linus



Registrato: 11/08/08 09:18
Messaggi: 32

MessaggioInviato: Sab Set 20, 2008 1:29 pm    Oggetto: Dubbi... Rispondi citando

Grazie della tua risposta, ma non capisco se allora ogni volta che imposto una regola nel firewall (magari anche a livello 7) devo preoccuparmi di quelle che sono le regole impostate nel proxy....mi sembra un po' macchinosa la cosa...
Linus
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Sab Set 20, 2008 4:01 pm    Oggetto: Rispondi citando

Purtroppo non hai chances su qusto punt odi vista, sennò il proxy lo devi mettere dopo il firewall.

E' normale la logica delle cose.

Sennò si devono mettere le regole direttamente nel chani OUTPUT di iptables... quindi dallo script di startup ci piazzi

iptables -A OUTPUT -d <ip_web> --dport 80 -o ETH00 -j DROP

Questo dovrebbe aiutarti a risolvere il problema, impedendo proprio zs ad accedere a quell'ip sulla porta 80.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Set 21, 2008 10:10 am    Oggetto: Rispondi citando

Concordo sulla spiegazione di ufoonline. Il proxy agisce in PREROUTING facendo una redirect in localhost. Da quel momento i pacchetti vengono gestiti da un processo locale a Zeroshell (il daemon proxy havp). Percio' dovresti agire sulla chain di OUTPUT invece che sulla FORWARD. Puoi farlo da interfaccia web stesso, senza usare gli script.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Linus



Registrato: 11/08/08 09:18
Messaggi: 32

MessaggioInviato: Dom Set 21, 2008 7:45 pm    Oggetto: Rispondi citando

Ma sulla chain OUTPUT che indirizzo di IN devo usare ? quello della LAN o quello della scheda in uscita verso il router telecom di zeroshell ?
E poi, non sarebbe più facile la gestione di zeroshell, in particolare del firewall, se fosse impostato prima del proxy? in questo modo avrebbe la priorità su tutto ?
Grazie comunque delle spiegazioni.
Linus
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Dom Set 21, 2008 10:40 pm    Oggetto: Rispondi citando

Source IP lascialo vuoto, così prendi chiunque.. qualsiasi IP provi a passare! E come Destination IP ci piazzi l'Ip del router telecom.

Per quanto riguarda inserire le regole del FW DOPO il redirect del proxy, secondo me no.. sarebbe più rompiballe.. perchè poi ci sarebbero solo 2modi per gestire la cosa:
1 - Ad ogni modifica delle regole.. Reboot per aggiornamento del fw
2 - Ad ogni modifica delle regole.. Flush e re-load di tutte le regole del fw (il che penalizza che utilizza regole custom nello Startup -> Post boot script).

Quindi.. meglio gestirlo così, non fa avere downtime inutili con reboot.. le modifiche sono immediate.. e tt siamo felici e contenti! Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it